View a markdown version of this page

Konfigurasikan SAMP dengan IAM untuk Connect Customer - Pelanggan Amazon Connect
Catatan pentingIkhtisar penggunaan SAMP dengan Connect CustomerMengaktifkan SAML-based otentikasi untuk Connect CustomerPilih otentikasi berbasis SAMP 2.0 selama pembuatan instansAktifkan federasi SAMP antara penyedia identitas Anda dan AWSKonfigurasikan penyedia identitas untuk menggunakan titik akhir SAMP regionalGunakan tujuan di URL status relai AndaMenambahkan pengguna ke instans Connect Customer AndaMasuk pengguna SAMP dan durasi sesi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan SAMP dengan IAM untuk Connect Customer

Connect Customer mendukung federasi identitas dengan mengonfigurasi Security Assertion Markup Language (SAMP) 2.0 dengan AWS IAM untuk mengaktifkan sistem masuk tunggal (SSO) berbasis web dari organisasi Anda ke instans Connect Customer Anda. Hal ini memungkinkan pengguna Anda untuk masuk ke portal di organisasi Anda yang dihosting oleh penyedia identitas (IDP) yang kompatibel dengan SAMP 2.0 dan masuk ke instans Connect Customer dengan satu pengalaman masuk tanpa harus memberikan kredensyal terpisah untuk Connect Customer.

Catatan penting

Sebelum Anda mulai, perhatikan hal berikut:

Ikhtisar penggunaan SAMP dengan Connect Customer

Diagram berikut menunjukkan urutan langkah-langkah yang dilakukan untuk permintaan SAMP untuk mengautentikasi pengguna dan bergabung dengan Connect Customer. Ini bukan diagram alir untuk model ancaman.

Ikhtisar alur permintaan untuk permintaan otentikasi SAMP dengan Connect Customer.

Permintaan SAMP melalui langkah-langkah berikut:

  1. Pengguna menelusuri portal internal yang menyertakan tautan untuk masuk ke Connect Customer. Tautan didefinisikan dalam penyedia identitas.

  2. Layanan federasi meminta otentikasi dari toko identitas organisasi.

  3. Toko identitas mengautentikasi pengguna dan mengembalikan respons otentikasi ke layanan federasi.

  4. Ketika otentikasi berhasil, layanan federasi memposting pernyataan SAMP ke browser pengguna.

  5. Browser pengguna memposting pernyataan SAMP ke AWS tanda di titik akhir SAMP (). https://signin.aws.amazon.com/saml AWS login menerima permintaan SAMP, memproses permintaan, mengautentikasi pengguna, dan memulai pengalihan browser ke titik akhir Connect Customer dengan token otentikasi.

  6. Menggunakan token otentikasi dari AWS, Connect Customer memberi otorisasi kepada pengguna dan membuka Connect Customer di browser mereka.

Mengaktifkan SAML-based otentikasi untuk Connect Customer

Langkah-langkah berikut diperlukan untuk mengaktifkan dan mengonfigurasi otentikasi SAMP untuk digunakan dengan instans Connect Customer Anda:

  1. Buat instance Connect Customer dan pilih autentikasi berbasis SAMP 2.0 untuk manajemen identitas.

  2. Aktifkan federasi SAMP antara penyedia identitas Anda dan AWS.

  3. Tambahkan pengguna Connect Customer ke instans Connect Customer Anda. Masuk ke instans Anda menggunakan akun administrator yang dibuat saat Anda membuat instance. Buka halaman Manajemen Pengguna dan tambahkan pengguna.

    penting

    • Untuk daftar karakter yang diizinkan dalam nama pengguna, lihat dokumentasi untuk Username properti dalam CreateUsertindakan.

    • Karena asosiasi pengguna Connect Customer dan Peran AWS IAM, nama pengguna harus sama persis RoleSessionName seperti yang dikonfigurasi dengan integrasi federasi AWS IAM Anda, yang biasanya berakhir menjadi nama pengguna di direktori Anda. Format nama pengguna harus sesuai dengan persimpangan kondisi format pengguna RoleSessionNamedan Connect Customer, seperti yang ditunjukkan pada diagram berikut:

      Diagram Ven dari rolesessionname dan pengguna Connect Customer.

  4. Konfigurasikan penyedia identitas Anda untuk pernyataan SAMP, respons otentikasi, dan status relai. Pengguna masuk ke penyedia identitas Anda. Jika berhasil, mereka dialihkan ke instans Connect Customer Anda. Peran IAM digunakan untuk berfederasi dengan AWS, yang memungkinkan akses ke Connect Customer.

Pilih otentikasi berbasis SAMP 2.0 selama pembuatan instans

Saat Anda membuat instance Connect Customer, pilih opsi otentikasi berbasis SAMP 2.0 untuk manajemen identitas. Pada langkah kedua, saat Anda membuat administrator untuk instance, nama pengguna yang Anda tentukan harus sama persis dengan nama pengguna di direktori jaringan yang ada. Tidak ada opsi untuk menentukan kata sandi untuk administrator karena kata sandi dikelola melalui direktori Anda yang ada. Administrator dibuat di Connect Customer dan diberi profil keamanan Admin.

Anda dapat masuk ke instans Connect Customer Anda, melalui IDP Anda, menggunakan akun administrator untuk menambahkan pengguna tambahan.

Aktifkan federasi SAMP antara penyedia identitas Anda dan AWS

Untuk mengaktifkan SAML-based otentikasi Connect Customer, Anda harus membuat penyedia identitas di konsol IAM. Untuk informasi selengkapnya, lihat Mengaktifkan Pengguna Federasi SAMP 2.0 untuk Mengakses AWS Konsol Manajemen.

Proses untuk membuat penyedia identitas AWS adalah sama untuk Connect Customer. Langkah 6 pada diagram alir di atas menunjukkan klien dikirim ke instance Connect Customer Anda, bukan Konsol Manajemen AWS.

Langkah-langkah yang diperlukan untuk mengaktifkan federasi SAMP dengan AWS meliputi:

  1. Buat penyedia SAMP di AWS. Untuk informasi selengkapnya, lihat Membuat Penyedia Identitas SAMP.

  2. Buat peran IAM untuk federasi SAMP 2.0 dengan. Konsol Manajemen AWS Buat hanya satu peran untuk federasi (hanya satu peran yang diperlukan dan digunakan untuk federasi). Peran IAM menentukan izin yang dimiliki pengguna yang masuk melalui penyedia identitas Anda. AWS Dalam hal ini, izin adalah untuk mengakses Connect Customer. Anda dapat mengontrol izin ke fitur Connect Customer dengan menggunakan profil keamanan di Connect Customer. Untuk informasi selengkapnya, lihat Membuat Peran untuk Federasi SAMP 2.0 (Konsol).

    Pada langkah 5, pilih Izinkan akses Programmatic dan AWS Management Console. Buat kebijakan kepercayaan yang dijelaskan dalam topik dalam prosedur Untuk mempersiapkan diri untuk membuat peran untuk federasi SAMP 2.0. Kemudian buat kebijakan untuk menetapkan izin ke instans Connect Customer Anda. Izin dimulai pada langkah 9 dari Untuk membuat peran untuk prosedur SAML-based federasi.

    Untuk membuat kebijakan untuk menetapkan izin ke peran IAM untuk federasi SAMP

    1. Pada halaman Lampirkan kebijakan izin, pilih Buat kebijakan.

    2. Di halaman Buat kebijakan, pilih JSON.

    3. Salin salah satu contoh kebijakan berikut dan tempelkan ke editor kebijakan JSON, menggantikan teks yang ada. Anda dapat menggunakan salah satu kebijakan untuk mengaktifkan federasi SAMP, atau menyesuaikannya untuk kebutuhan spesifik Anda.

      Gunakan kebijakan ini untuk mengaktifkan federasi bagi semua pengguna dalam instans Connect Customer tertentu. Untuk SAML-based otentikasi, ganti nilai untuk ARN untuk instance yang Anda buat: Resource

      JSON
      {
    "Version":"2012-10-17",
   "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": [
                "arn:aws:connect:us-east-1:361814831152:instance/2fb42df9-78a2-2e74-d572-c8af67ed289b/user/${aws:userid}"
            ]
        }
    ]
}

      Gunakan kebijakan ini untuk mengaktifkan federasi ke instans Connect Customer tertentu. Ganti nilai untuk ID instance untuk instance Anda. connect:InstanceId

      JSON
      {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "Statement2",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "2fb42df9-78a2-2e74-d572-c8af67ed289b"
                }
            }
        }
    ]
}

      Gunakan kebijakan ini untuk mengaktifkan federasi untuk beberapa instance. Perhatikan tanda kurung di sekitar ID instance yang terdaftar.

      JSON
      {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "Statement2",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": [
                    "2fb42df9-78a2-2e74-d572-c8af67ed289b", 
                    "1234567-78a2-2e74-d572-c8af67ed289b"]
                }
            }
        }
    ]
}

    4. Setelah membuat kebijakan, pilih Berikutnya: Tinjau. Kemudian kembali ke langkah 10 di Untuk membuat peran untuk prosedur SAML-based federasi dalam topik Membuat Peran untuk Federasi SAMP 2.0 (Konsol).

  3. Konfigurasikan jaringan Anda sebagai penyedia SAMP untuk AWS. Untuk informasi selengkapnya, lihat Mengaktifkan Pengguna Federasi SAMP 2.0 untuk Mengakses AWS Konsol Manajemen.

  4. Konfigurasikan Pernyataan SAMP untuk Respons Otentikasi. Untuk informasi selengkapnya, Mengonfigurasi Pernyataan SAMP untuk Respons Otentikasi.

  5. Untuk Connect Customer, biarkan URL Mulai Aplikasi kosong.

  6. Ganti URL Application Consumer Service (ACS) di penyedia identitas Anda untuk menggunakan endpoint regional yang bertepatan dengan instans Connect Customer Wilayah AWS Anda. Untuk informasi selengkapnya, lihat Konfigurasikan penyedia identitas untuk menggunakan titik akhir SAMP regional.

  7. Konfigurasikan status relai penyedia identitas Anda untuk menunjuk ke instans Connect Customer Anda. URL yang digunakan untuk status relai terdiri sebagai berikut:

    https://region-id.console.aws.amazon.com/connect/federate/instance-id

    Ganti region-id dengan nama Wilayah tempat Anda membuat instance Connect Customer, seperti us-east-1 untuk US East (Virginia Utara). Ganti instance-id dengan ID instance untuk instance Anda.

    Sebagai GovCloud contoh, URL tersebut adalah https://console.amazonaws-us-gov.com/:

    • https://console.amazonaws-us-gov.com/connect/federate/instance-id

    catatan

    Anda dapat menemukan ID instans untuk instans Anda dengan memilih alias instance di konsol Connect Customer. ID instance adalah kumpulan angka dan huruf setelah '/instance' di ARN Instance yang ditampilkan di halaman Ikhtisar. Misalnya, ID instance dalam ARN Instance berikut adalah 178c75e4-b3de-4839-a6aa-e321ab3f3770.

    arn:aws:hubungkan: us-timur- 1:450725743157: instance/178c75e4-b3de-4839-a6aa-e321ab3f3770

Konfigurasikan penyedia identitas untuk menggunakan titik akhir SAMP regional

Untuk memberikan ketersediaan terbaik, kami sarankan untuk menggunakan endpoint SAMP regional yang bertepatan dengan instans Connect Customer Anda, bukan titik akhir global default.

Langkah-langkah berikut adalah iDP agnostik; mereka bekerja untuk setiap IDP SAMP (misalnya, Okta, Ping,, OneLogin Shibboleth, ADFS, AzuRead, dan banyak lagi).

  1. Perbarui (atau ganti) URL Assertion Consumer Service (ACS). Ada dua cara Anda dapat melakukan ini:

    • Opsi 1: Unduh metadata AWS SAMP dan perbarui Location atribut ke Wilayah pilihan Anda. Muat versi baru metadata AWS SAMP ini ke dalam IDP Anda.

      Berikut ini adalah contoh revisi:

      <AssertionConsumerService index="1" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://region-id.signin.aws.amazon.com/saml"/>

    • Opsi 2: Ganti URL AssertionConsumerService (ACS) di IDP Anda. Untuk IdPs seperti Okta yang menyediakan AWS integrasi pra-panggang, Anda dapat mengganti URL ACS di konsol admin. AWS Gunakan format yang sama untuk mengganti ke Wilayah pilihan Anda (misalnya, https://region-id.signin.aws.amazon. com/saml).

  2. Perbarui kebijakan kepercayaan peran terkait:

    1. Langkah ini perlu dilakukan untuk setiap peran di setiap akun yang mempercayai penyedia identitas yang diberikan.

    2. Edit hubungan kepercayaan, dan ganti SAML:aud kondisi tunggal dengan kondisi multivalued. Contoh:

      • Default: "SAML:aud“:"https://signin.aws.amazon.com/saml”.

      • Dengan modifikasi: "SAML:aud“: [" “, https://signin.aws.amazon.com/saml “https://region-id.signin.aws.amazon. com/saml"]

    3. Buat perubahan ini pada hubungan kepercayaan sebelumnya. Mereka tidak boleh dilakukan sebagai bagian dari rencana selama insiden.

  3. Konfigurasikan status relai untuk halaman Region-specific konsol.

    1. Jika Anda tidak melakukan langkah terakhir ini, tidak ada jaminan bahwa proses masuk Region-specific SAMP akan meneruskan pengguna ke halaman masuk konsol dalam Wilayah yang sama. Langkah ini paling bervariasi per penyedia identitas, tetapi ada blog (misalnya, Cara Menggunakan SAMP untuk Mengarahkan Pengguna Federasi Secara Otomatis ke Halaman Konsol Manajemen AWS Tertentu) yang menunjukkan penggunaan status relai untuk mencapai deep linking.

    2. Menggunakan yang technique/parameters sesuai untuk IDP Anda, setel status relai ke titik akhir konsol yang cocok (misalnya, https://.console.aws.amazon. region-id com/connect/federasi/instance-id).

catatan

  • Pastikan STS tidak dinonaktifkan di Wilayah tambahan Anda.

  • Pastikan tidak ada SCP yang mencegah tindakan STS di Wilayah tambahan Anda.

Gunakan tujuan di URL status relai Anda

Saat mengonfigurasi status relai untuk penyedia identitas, Anda dapat menggunakan argumen tujuan di URL untuk menavigasi pengguna ke halaman tertentu di instans Connect Customer. Misalnya, gunakan tautan untuk membuka PKC secara langsung saat agen masuk. Pengguna harus diberi profil keamanan yang memberikan akses ke halaman tersebut dalam instance. Misalnya, untuk mengirim agen ke PKC, gunakan URL yang mirip dengan yang berikut ini untuk status relai. Anda harus menggunakan pengkodean URL untuk nilai tujuan yang digunakan dalam URL:

  • https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true

Contoh lain dari URL yang valid adalah:

  • https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fagent-app-v2

GovCloud Misalnya, URL adalah https://console.amazonaws-us-gov.com/. Jadi alamatnya adalah:

  • https://console.amazonaws-us-gov.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true

Jika Anda ingin mengonfigurasi argumen tujuan ke URL di luar instance Connect Customer, seperti situs web kustom Anda sendiri, pertama-tama tambahkan domain eksternal tersebut ke asal akun yang disetujui. Misalnya, lakukan langkah-langkah dalam urutan berikut:

  1. Di konsol Connect Customer tambahkan https://your-custom-website.com ke asal Anda yang disetujui. Untuk petunjuk, lihat Menggunakan allowlist untuk aplikasi terintegrasi di Connect Customer.

  2. Di penyedia identitas Anda, konfigurasikan status relai Anda ke https://your-region.console.aws.amazon.com/connect/federate/instance-id?destination=https%3A%2F%2Fyour-custom-website.com

  3. Ketika agen Anda masuk, mereka dibawa langsung ke https://your-custom-website.com.

Menambahkan pengguna ke instans Connect Customer Anda

Tambahkan pengguna ke instance connect Anda, pastikan nama pengguna sama persis dengan nama pengguna di direktori yang ada. Jika nama tidak cocok, pengguna dapat masuk ke penyedia identitas, tetapi tidak ke Connect Customer karena tidak ada akun pengguna dengan nama pengguna tersebut di Connect Customer. Anda dapat menambahkan pengguna secara manual di halaman Manajemen pengguna, atau Anda dapat mengunggah pengguna secara massal dengan templat CSV. Setelah menambahkan pengguna ke Connect Customer, Anda dapat menetapkan profil keamanan dan pengaturan pengguna lainnya.

Saat pengguna masuk ke penyedia identitas, tetapi tidak ada akun dengan nama pengguna yang sama yang ditemukan di Connect Customer, pesan Access ditolak berikut akan ditampilkan.

Kesalahan akses ditolak untuk pengguna yang namanya tidak ada di Connect Customer.
Upload massal pengguna dengan template

Anda dapat mengimpor pengguna Anda dengan menambahkannya ke file CSV. Anda kemudian dapat mengimpor file CSV ke instance Anda, yang menambahkan semua pengguna dalam file. Jika Anda menambahkan pengguna dengan mengunggah file CSV, pastikan Anda menggunakan template untuk pengguna SAMP. Anda dapat menemukannya di halaman Manajemen pengguna di Connect Customer. Template yang berbeda digunakan untuk SAML-based otentikasi. Jika sebelumnya Anda mengunduh templat, Anda harus mengunduh versi yang tersedia di halaman Manajemen pengguna setelah menyiapkan instance dengan SAML-based otentikasi. Template tidak boleh menyertakan kolom untuk email atau kata sandi.

Masuk pengguna SAMP dan durasi sesi

Saat Anda menggunakan SAMP di Connect Customer, pengguna harus masuk ke Connect Customer melalui penyedia identitas (IDP) Anda. IDP Anda dikonfigurasi untuk diintegrasikan dengan. AWS Setelah otentikasi, token untuk sesi mereka dibuat. Pengguna kemudian diarahkan ke instans Connect Customer Anda dan secara otomatis masuk ke Connect Customer menggunakan sistem masuk tunggal.

Sebagai praktik terbaik, Anda juga harus menentukan proses bagi pengguna Connect Customer Anda untuk keluar ketika mereka selesai menggunakan Connect Customer. Mereka harus keluar dari Connect Customer dan penyedia identitas Anda. Jika tidak, orang berikutnya yang masuk ke komputer yang sama dapat masuk ke Connect Customer tanpa kata sandi karena token untuk sesi sebelumnya masih berlaku selama sesi berlangsung. Ini berlaku selama 12 jam.

Tentang kedaluwarsa sesi

Sesi Connect Customer berakhir 12 jam setelah pengguna login. Setelah 12 jam, pengguna secara otomatis keluar, bahkan jika mereka sedang melakukan panggilan. Jika agen Anda tetap login selama lebih dari 12 jam, mereka perlu menyegarkan token sesi sebelum kedaluwarsa. Untuk membuat sesi baru, agen harus keluar dari Connect Customer dan IDP Anda dan kemudian masuk lagi. Ini mengatur ulang timer sesi yang disetel pada token sehingga agen tidak keluar selama kontak aktif dengan pelanggan. Ketika sesi berakhir saat pengguna masuk, pesan berikut akan ditampilkan. Untuk menggunakan Connect Customer lagi, pengguna harus masuk ke penyedia identitas Anda.

Pesan galat ditampilkan saat sesi berakhir untuk SAML-based pengguna.
catatan

Jika Anda melihat pesan kedaluwarsa Sesi saat masuk, Anda mungkin hanya perlu menyegarkan token sesi. Buka penyedia identitas Anda dan masuk. Segarkan halaman Connect Customer. Jika Anda masih mendapatkan pesan ini, hubungi tim TI Anda.