Integrasikan penyedia identitas (idP) Anda dengan titik akhir masuk Amazon Connect Global Resiliency SAMP - Amazon Connect
Sebelum Anda mulaiHal-hal penting untuk diketahuiCara mengintegrasikan penyedia identitas Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Integrasikan penyedia identitas (idP) Anda dengan titik akhir masuk Amazon Connect Global Resiliency SAMP

Untuk mengaktifkan agen Anda masuk sekali dan masuk ke kedua AWS Wilayah untuk memproses kontak dari Wilayah aktif saat ini, Anda perlu mengonfigurasi pengaturan IAM untuk menggunakan titik akhir SAMP masuk global.

Sebelum Anda mulai

Anda harus mengaktifkan SAFL untuk instans Amazon Connect untuk menggunakan Amazon Connect Global Resiliency. Untuk informasi tentang memulai federasi IAM, lihat Mengaktifkan pengguna federasi SAMP 2.0 untuk mengakses AWS Management Console.

Hal-hal penting untuk diketahui

  • Untuk melakukan langkah-langkah dalam topik ini, Anda memerlukan ID instans Anda. Untuk petunjuk tentang cara menemukannya, lihatTemukan ID instans Amazon Connect atau ARN.

  • Anda juga perlu mengetahui Wilayah sumber instans Amazon Connect Anda. Untuk petunjuk tentang cara menemukannya, lihatCara menemukan Wilayah sumber instans Amazon Connect Anda.

  • Jika Anda menyematkan aplikasi Connect dalam iframe, Anda harus memastikan bahwa domain Anda ada dalam daftar Asal yang Disetujui di instans sumber dan replika agar proses masuk global berfungsi.

    Untuk mengonfigurasi Asal yang Disetujui di tingkat instans, ikuti langkah-langkahnyaMenggunakan allowlist untuk aplikasi terintegrasi di Amazon Connect.

  • Agen harus sudah dibuat di instans Amazon Connect sumber dan replika Anda dan memiliki nama pengguna yang sama dengan nama sesi peran dari penyedia identitas Anda (iDP). Jika tidak, Anda akan menerima UserNotOnboardedException pengecualian dan risiko kehilangan kemampuan redundansi agen di antara instans Anda.

  • Anda harus mengaitkan agen ke grup distribusi lalu lintas sebelum agen mencoba masuk. Jika tidak, masuk agen akan gagal dengan file. ResourceNotFoundException Untuk informasi tentang cara mengatur grup distribusi lalu lintas dan agen asosiasikan dengan mereka, lihatMengaitkan agen ke instans Amazon Connect di beberapa Wilayah AWS.

  • Saat agen Anda bergabung ke Amazon Connect dengan URL masuk SAMP yang baru, Amazon Connect Global Resiliency selalu mencoba untuk memasukkan agen ke Wilayah /instans sumber dan replika Anda, tidak peduli bagaimana SignInConfig dikonfigurasi dalam grup distribusi lalu lintas Anda. Anda dapat memverifikasi ini dengan memeriksa CloudTrail log.

  • SignInConfigDistribusi dalam grup distribusi lalu lintas default Anda hanya menentukan mana yang Wilayah AWS digunakan untuk memfasilitasi login. Terlepas dari bagaimana SignInConfig distribusi Anda dikonfigurasi, Amazon Connect selalu mencoba masuk agen ke kedua Wilayah instans Amazon Connect Anda.

  • Setelah mereplikasi instans Amazon Connect, hanya satu titik akhir login SAMP yang dibuat untuk instans Anda. Endpoint ini selalu berisi sumber Wilayah AWS di URL.

  • Anda tidak perlu mengonfigurasi status relai saat menggunakan URL masuk SAMP yang dipersonalisasi dengan Amazon Connect Global Resiliency.

Cara mengintegrasikan penyedia identitas Anda

  1. Saat Anda membuat replika instans Amazon Connect menggunakan ReplicateInstanceAPI, URL login SAMP yang dipersonalisasi akan dibuat untuk instans Amazon Connect Anda. URL dihasilkan dalam format berikut:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-idadalah ID instance untuk salah satu instance dalam grup instans Anda. ID instance identik di daerah sumber dan replika.

    2. source-regionsesuai dengan AWS Wilayah sumber tempat ReplicateInstanceAPI dipanggil.

  2. Tambahkan kebijakan kepercayaan berikut ke peran Federasi IAM Anda. Gunakan URL untuk titik akhir SAMP login global seperti yang ditunjukkan pada contoh berikut.

    JSON
    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
               "saml-provider-arn"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    catatan

    saml-provider-arnadalah sumber daya penyedia identitas yang dibuat di IAM.

  3. Berikan akses connect:GetFederationToken untuk peran Federasi IAM Anda. InstanceId Misalnya:

    JSON
    {
"Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. Tambahkan pemetaan atribut ke aplikasi penyedia identitas Anda menggunakan atribut dan string nilai berikut.

    Atribut Nilai

    https://aws.amazon.com/SAML/Atribut/Peran

    saml-role-arn,identity-provider-arn

  5. Konfigurasikan URL Assertion Consumer Service (ACS) dari penyedia identitas Anda untuk menunjuk ke URL login SAMP yang dipersonalisasi. Gunakan contoh berikut untuk URL ACS:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. Tetapkan bidang berikut dalam parameter URL:

    • instanceId: Pengenal instans Amazon Connect Anda. Untuk petunjuk tentang cara menemukan ID instans Anda, lihatTemukan ID instans Amazon Connect atau ARN.

    • accountId: ID AWS akun tempat instans Amazon Connect berada.

    • role: Setel ke nama atau Nama Sumber Daya Amazon (ARN) peran SAFL yang digunakan untuk federasi Amazon Connect.

    • idp: Setel ke nama atau Nama Sumber Daya Amazon (ARN) dari penyedia identitas SAMP di IAM.

    • destination: Setel ke jalur opsional tempat agen akan mendarat di instance setelah masuk (misalnya:/agent-app-v2).