View a markdown version of this page

Integrasikan penyedia identitas (idP) Anda dengan titik akhir Connect Customer Global Resiliency SAMP - Pelanggan Amazon Connect
Sebelum Anda mulaiHal-hal penting untuk diketahuiCara mengintegrasikan penyedia identitas Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Integrasikan penyedia identitas (idP) Anda dengan titik akhir Connect Customer Global Resiliency SAMP

Untuk mengaktifkan agen Anda masuk sekali dan masuk ke kedua AWS Wilayah untuk memproses kontak dari Wilayah aktif saat ini, Anda perlu mengonfigurasi pengaturan IAM untuk menggunakan titik akhir SAMP masuk global.

Sebelum Anda mulai

Anda harus mengaktifkan SAMP untuk instans Connect Customer Anda untuk menggunakan Connect Customer Global Resiliency. Untuk informasi tentang memulai federasi IAM, lihat Mengaktifkan pengguna federasi SAMP 2.0 untuk mengakses AWS Management Console.

Hal-hal penting untuk diketahui

  • Failover agen hanya didukung saat menggunakan titik akhir masuk global.

  • Untuk melakukan langkah-langkah dalam topik ini, Anda memerlukan ID instans Anda. Untuk petunjuk tentang cara menemukannya, lihatTemukan ID instans Connect Customer atau ARN.

  • Anda juga perlu mengetahui Wilayah sumber instans Connect Customer Anda. Untuk petunjuk tentang cara menemukannya, lihatCara menemukan Wilayah sumber instans Connect Customer Anda.

  • Jika Anda menyematkan aplikasi Connect dalam iframe, Anda harus memastikan bahwa domain Anda ada dalam daftar Asal yang Disetujui di instans sumber dan replika agar proses masuk global berfungsi.

    Untuk mengonfigurasi Asal yang Disetujui di tingkat instans, ikuti langkah-langkahnyaMenggunakan allowlist untuk aplikasi terintegrasi di Connect Customer.

  • Agen harus sudah dibuat dalam instance Connect Customer sumber dan replika Anda dan memiliki nama pengguna yang sama dengan nama sesi peran dari penyedia identitas Anda (iDP). Jika tidak, Anda akan menerima UserNotOnboardedException pengecualian dan risiko kehilangan kemampuan redundansi agen di antara instans Anda.

  • Anda harus mengaitkan agen ke grup distribusi lalu lintas sebelum agen mencoba masuk. Jika tidak, masuk agen akan gagal dengan file. ResourceNotFoundException Untuk informasi tentang cara mengatur grup distribusi lalu lintas dan agen asosiasikan dengan mereka, lihatAgen asosiasi untuk Connect Customer instans di beberapa AWS Wilayah.

  • Saat agen Anda bergabung ke Connect Customer dengan URL login SAMP yang baru, Connect Customer Global Resiliency selalu mencoba untuk memasukkan agen ke dalam Region/instans sumber dan replika Anda, tidak peduli bagaimana SignInConfig dikonfigurasi dalam grup distribusi lalu lintas Anda. Anda dapat memverifikasi ini dengan memeriksa CloudTrail log.

  • SignInConfigDistribusi dalam grup distribusi lalu lintas default Anda hanya menentukan mana yang Wilayah AWS digunakan untuk membantu masuk. Terlepas dari bagaimana SignInConfig distribusi Anda dikonfigurasi, Connect Customer selalu mencoba untuk masuk agen ke kedua Wilayah dari instans Connect Customer Anda.

  • Setelah mereplikasi instance Connect Customer, hanya satu titik akhir login SAMP yang dibuat untuk instans Anda. Endpoint ini selalu berisi sumber Wilayah AWS di URL.

  • Anda tidak perlu mengonfigurasi status relai saat menggunakan URL login SAMP yang dipersonalisasi dengan Connect Customer Global Resiliency.

Cara mengintegrasikan penyedia identitas Anda

  1. Saat Anda membuat replika instans Connect Customer menggunakan ReplicateInstanceAPI, URL login SAMP yang dipersonalisasi akan dibuat untuk instans Connect Customer Anda. URL dihasilkan dalam format berikut:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-idadalah ID instance untuk salah satu instance dalam grup instans Anda. ID instance identik di daerah sumber dan replika.

    2. source-regionsesuai dengan AWS Wilayah sumber tempat ReplicateInstanceAPI dipanggil.

  2. Tambahkan kebijakan kepercayaan berikut ke peran Federasi IAM Anda. Gunakan URL untuk titik akhir SAMP login global seperti yang ditunjukkan pada contoh berikut.

    JSON
    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
              "arn:aws:iam::111122223333:saml-provider/MySAMLProvider"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    catatan

    saml-provider-arnadalah sumber daya penyedia identitas yang dibuat di IAM.

  3. Berikan akses connect:GetFederationToken untuk peran Federasi IAM Anda. InstanceId Contoh:

    JSON
    {
"Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. Tambahkan pemetaan atribut ke aplikasi penyedia identitas Anda menggunakan atribut dan string nilai berikut.

    Atribut Nilai

    https://aws.amazon.com/SAML/Attributes/Role

    saml-role-arn,identity-provider-arn

  5. Konfigurasikan URL Assertion Consumer Service (ACS) dari penyedia identitas Anda untuk menunjuk ke URL login SAMP yang dipersonalisasi. Gunakan contoh berikut untuk URL ACS:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. Tetapkan bidang berikut dalam parameter URL:

    • instanceId: Pengenal instans Connect Customer Anda. Untuk petunjuk tentang cara menemukan ID instans Anda, lihatTemukan ID instans Connect Customer atau ARN.

    • accountId: ID AWS akun tempat instans Connect Customer berada.

    • role: Setel ke nama atau Nama Sumber Daya Amazon (ARN) peran SAMP yang digunakan untuk federasi Connect Customer.

    • idp: Setel ke nama atau Nama Sumber Daya Amazon (ARN) dari penyedia identitas SAMP di IAM.

    • destination: Setel ke jalur opsional tempat agen akan mendarat di instance setelah masuk (misalnya:/agent-app-v2).