Impostazione delle restrizioni degli indirizzi IP e dei timeout delle sessioni in Amazon Connect - Amazon Connect
Guida introduttiva ai profili di autenticazioneConfigurazione del controllo degli accessi basato su IPEsempi di configurazioni di indirizzi IPConfigura i timeout delle sessioni utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazione delle restrizioni degli indirizzi IP e dei timeout delle sessioni in Amazon Connect

Nota

Questa funzionalità è in versione di anteprima ed è soggetta a modifica. Per accedere a questa funzionalità, contatta il Solutions Architect o il Technical account manager di Amazon Connect oppure Supporto.

Per bloccare ulteriormente il contact center, ad esempio per conformarsi ai requisiti e alle normative del settore, è possibile impostare restrizioni relative agli indirizzi IP e timeout delle sessioni.

  • Le restrizioni relative agli indirizzi IP richiedono agli agenti di accedere solo dalla VPN o di bloccare l’accesso da Paesi o sottoreti specifici.

  • I timeout di sessione richiedono agli agenti di accedere nuovamente ad Amazon Connect.

In Amazon Connect configuri un profilo di autenticazione per impostare le restrizioni degli indirizzi IP e la durata delle sessioni degli agenti che hanno effettuato l’accesso. Un profilo di autenticazione è una risorsa che memorizza le impostazioni di autenticazione per gli utenti del contact center.

Guida introduttiva ai profili di autenticazione

La tua istanza Amazon Connect include un profilo di autenticazione predefinito. Per impostazione predefinita, questo profilo di autenticazione si applica a tutti gli utenti del contact center e non deve essere assegnato.

I profili di autenticazione sono attualmente configurabili solo con l' AWS SDK. Per configurare il profilo di autenticazione predefinito, utilizza i seguenti comandi.

Suggerimento

È necessario l’ID dell’istanza Amazon Connect per eseguire questi comandi. Per istruzioni su come trovare l’ID dell’istanza, consulta Trovare l’ID o l’ARN dell’istanza Amazon Connect.

  1. Elenca i profili di autenticazione dell’istanza per ottenere l’ID del profilo di autenticazione che desideri aggiornare. Puoi chiamare l'ListAuthenticationProfileAPI o eseguire il comando list-authentication-profiles CLI.

    Di seguito è riportato un comando list-authentication-profiles di esempio.

    aws connect list-authentication-profiles --instance-id your-instance-id

    Di seguito è riportato un esempio del profilo di autenticazione predefinito restituito dal comando list-authentication-profiles.

    {
    "AuthenticationProfileSummaryList": [
        {
        "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
        "Id": "profile-id",
        "IsDefault": true,
        "LastModifiedRegion": "us-west-2",
        "LastModifiedTime": 1.719249173664E9,
        "Name": "Default Authentication Profile"
        }
    ],
    "NextToken": null
}

  2. Visualizza la configurazione del profilo di autenticazione che desideri aggiornare. È possibile chiamare DescribeAuthenticationProfileo eseguire il comando describe-authentication-profile CLI.

    Di seguito è riportato un comando describe-authentication-profile di esempio.

    aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id

    Di seguito è riportato un esempio delle informazioni restituite dal comando describe-authentication-profile.

    {
    "AuthenticationProfile": {
    "AllowedIps": [],
    "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
    "BlockedIps": [],
    "CreatedTime": 1.718999177811E9,
    "Description": "A basic default Authentication Profile",
    "Id": "profile-id",
    "IsDefault": true,
    "LastModifiedRegion": "us-west-2",
    "LastModifiedTime": 1.719249173664E9,
    "MaxSessionDuration": 720,
    "Name": "Default Authentication Profile",
    "PeriodicSessionDuration": 60,
    "SessionInactivityDuration": 60,
    "SessionInactivityHandlingEnabled": false
    }
}

    Per una descrizione di ogni campo, consulta AuthenticationProfileAmazon Connect API Reference.

  3. Configura il profilo di autenticazione utilizzando l'UpdateAuthenticationProfileAPI o il comando update-authentication-profile CLI. Tutti i campi ad eccezione di InstanceId e ProfileId sono facoltativi. Vengono modificate solo le impostazioni definite nella chiamata API.

    Di seguito è riportato un comando update-authentication-profile di esempio. Configura il profilo di autenticazione predefinito che viene assegnato automaticamente a tutti gli utenti. Consente alcuni indirizzi IP, ne blocca altri, abilita le disconnessioni automatiche in caso di inattività dell'utente e imposta la durata dell'inattività della sessione su 60 minuti.

    aws connect update-authentication-profile 
    --instance-id your-instance-id 
    --profile-id profile-id
    --name "Default Authentication Profile"
    --description "A basic default Authentication Profile"
    --allowed-ips "ip-range-1" "ip-range-2" ...
    --blocked-ips "ip-range-3" "ip-range-4" ...
    --session-inactivity-handling-enabled
    --session-inactivity-duration 60

Configurazione del controllo degli accessi basato su IP

Se desideri configurare l’accesso al tuo contact center in base agli indirizzi IP, puoi utilizzare la funzionalità di controllo degli accessi basata su IP del tuo profilo di autenticazione.

Esistono due tipi di configurazioni IP che è possibile configurare in un profilo di autenticazione: intervalli di indirizzi IP consentiti e intervalli di indirizzi IP bloccati. I seguenti punti descrivono come funziona il controllo degli accessi basato su IP.

  • Gli indirizzi IP possono essere in entrambi i formati. IPV4 IPV6

  • È possibile definire sia singoli indirizzi IP che intervalli di indirizzi IP nella notazione CIDR.

  • Le configurazioni IP bloccate hanno sempre la precedenza.

  • Se gli indirizzi IP sono definiti nell’elenco degli IP consentiti, sono consentiti solo tali indirizzi IP.

    • Questi indirizzi IP possono essere delimitati dall’elenco degli IP bloccati.

  • Se vengono definiti solo indirizzi IP bloccati, qualsiasi indirizzo IP può accedere all’istanza, ad eccezione di quelli definiti nell’elenco di blocco.

  • Se gli indirizzi IP sono definiti sia negli elenchi di indirizzi IP consentiti che in quelli bloccati, sono consentiti solo gli indirizzi IP definiti nell’intervallo consentito, meno gli indirizzi IP nell’intervallo bloccato.

Nota

Il controllo degli accessi basato sull’indirizzo IP non si applica all’accesso amministratore di emergenza. Per applicare restrizioni a questo utente, puoi applicare le restrizioni SourceIp nelle tue policy IAM per l’API connect:AdminGetEmergencyAccessToken.

Quando si determina che l’indirizzo IP di un utente è bloccato dall’istanza, la sessione dell’utente verrà invalidata. Un evento di logout viene pubblicato nel report Login/Logout.

Cosa riscontrano gli utenti quando il controllo del loro indirizzo IP non riesce

Agents (Agenti)

Quando un agente è attivo nel Contact Control Panel (CCP), il suo indirizzo IP viene controllato periodicamente.

Di seguito è riportato cosa accade se l’indirizzo IP non supera il controllo:

  • Se l’agente non è impegnato in una chiamata attiva, viene disconnesso se il suo indirizzo IP diventa un indirizzo non consentito.

  • Se l'agente è impegnato in una chiamata attiva, la sessione dell'agente viene invalidata. Tuttavia, ciò non termina la chiamata attualmente attiva. Ecco che cosa succede:

    1. L’agente perde la capacità di intraprendere qualsiasi azione, ad esempio modificare lo stato dell’agente, trasferire chiamate, mettere la chiamata in attesa, terminare la chiamata o creare un caso.

    2. L’agente viene informato che la sua capacità di agire nel CCP è limitata.

    3. Se effettua l’accesso correttamente dopo l’annullamento della sessione, viene reinserito nella chiamata attiva e può intervenire nuovamente.

Amministratori e utenti che utilizzano il Amazon Connect sito Web di amministrazione

Quando il controllo dell’indirizzo IP non riesce e gli amministratori e gli altri utenti eseguono azioni sul sito web di amministrazione di Amazon Connect , ad esempio salvando gli aggiornamenti delle risorse o effettuando chiamate attive, vengono automaticamente disconnessi.

Esempi di configurazioni di indirizzi IP

Esempio 1: indirizzi IP definiti solo nell’elenco degli IP consentiti

  • AllowedIps: [ 111.222.0.0/16 ]

  • BlockedIps: [ ]

Esito:

  • Solo gli indirizzi IP compresi tra 111.222.0.0 e 111.222.255.255 possono accedere all’istanza.

Esempio 2: indirizzi IP definiti solo nell’elenco degli IP bloccati

  • AllowedIps: [ ]

  • BlockedIps: [155.155.155.0/24 ]

Esito:

  • Tutti gli indirizzi IP sono consentiti, tranne l’intervallo di indirizzi IP 155.155.155.0 - 155.155.155.255 incluso.

Esempio 3: indirizzi IP definiti sia nell’elenco degli IP consentiti che nell’elenco degli IP bloccati

  • AllowedIps: [ 200.255.0.0/16 ]

  • BlockedIps: [200.255.10.0/24, 200.255.40.50, 192.123.211.211 ]

Esito:

  • Sono consentiti indirizzi IP compresi tra 200.255.0.0 - 200.255.255.255, meno (200.255.10.0 - 200.255.10.255 AND 200.255.40.50).

  • In effetti, 200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255 sono consentiti.

  • 192.123.211.211 viene effettivamente ignorato poiché non rientra nell’intervallo consentito.

Esempio 4: nessun indirizzo IP definito nell’elenco degli IP consentiti o nell’elenco degli IP bloccati

  • AllowedIps: [ ]

  • BlockedIps: [ ]

In questo caso, non ci sono restrizioni.

Importante

L'allowedIpselenco definisce l'intervallo di possibili IPs autorizzazioni consentite nel contact center solo se non è vuoto. Se è vuoto, qualsiasi indirizzo IP può accedere al contact center a meno che non sia esplicitamente bloccato dall’elenco blockedIps.

Configura i timeout delle sessioni utente

Una sessione Amazon Connect è definita come un periodo continuo di accesso autenticato al sito Web del tuo contact center. Esistono due timeout di sessione che si applicano alle sessioni utente nel contact center:

  • Durata massima della sessione: questo valore rappresenta il periodo di tempo massimo in cui un utente del contact center può accedere prima di essere costretto ad accedere nuovamente. Il valore predefinito è 12 ore e non è configurabile.

  • Durata di inattività della sessione: questo valore rappresenta il periodo prima che un agente si disconnetta automaticamente dal contact center quando diventa inattivo.

Per impostazione predefinita, gli utenti della tua istanza Amazon Connect rimangono connessi fino al termine della durata massima della sessione di 12 ore, senza disconnessione automatica per inattività. Tuttavia, le organizzazioni con requisiti di sicurezza e conformità più rigorosi possono sfruttare i profili di autenticazione per abilitare la disconnessione automatica quando gli utenti diventano inattivi. Una volta abilitata, questa funzionalità monitora i modelli di attività degli utenti e termina automaticamente le sessioni una volta trascorsa la durata di inattività della sessione configurata.

Un utente del contact center è considerato attivo quando esegue una delle seguenti azioni:

  • Attività con mouse e tastiera sul Contact Control Panel (CCP), Agent Workspace o sul sito Web di amministrazione

  • Presenza di un contatto vocale attivo

Se l'utente è considerato inattivo, sullo schermo verrà visualizzato un pop-up che avvisa l'utente che la sua sessione sta per scadere a causa dell'inattività. Un utente può scegliere di rimanere connesso o disconnettersi.

Per attivare il logout automatico in caso di inattività dell'utente, esegui le seguenti chiamate API su un profilo di autenticazione nella tua istanza utilizzando l'SDK Amazon Connect.

aws connect update-authentication-profile 
    --instance-id <your-instance-id> 
    --profile-id <profile-id>
    --session-inactivity-handling-enabled
    --session-inactivity-duration <minutes between 15 and 720>
Nota

I clienti che integrano il proprio contact center con un fornitore di terze parti (come Salesforce Service Cloud Voice (SCV)) devono fare riferimento alla documentazione del fornitore per determinare se questa funzionalità è supportata prima di abilitare i logout automatici in caso di inattività.

Nota

I clienti che utilizzano AmazonConnectStreams o l' AmazonConnectSDK per integrare le loro applicazioni Web esistenti con Amazon Connect devono implementare la gestione delle attività come parte della loro integrazione prima di abilitare il logout automatico in caso di inattività dell'utente. Per ulteriori informazioni, consulta la AmazonConnectStreams documentazione del AmazonConnect nostro SDK.

Nota

La disconnessione automatica in caso di inattività dell'utente non è supportata quando si utilizza Amazon Connect in un'infrastruttura desktop virtuale (VDI) con un modello CCP diviso.