View a markdown version of this page

Applica il controllo degli accessi basato sulla gerarchia in Connect Customer - Cliente Amazon Connect
Panoramica diApplica il controllo degli accessi basato sulla gerarchia utilizzando il API/SDKApplica il controllo degli accessi basato sulla gerarchia utilizzando il Connect Customer sito web di amministrazioneLimitazioni di configurazioneBest practice per l’applicazione di controlli degli accessi basati su gerarchia

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Applica il controllo degli accessi basato sulla gerarchia in Connect Customer

Puoi limitare l’accesso ai contatti in base alla gerarchia di agenti assegnata a un utente. A tale scopo, puoi utilizzare le autorizzazioni del profilo di sicurezza, ad esempio Limita l’accesso ai contatti. Oltre a queste autorizzazioni, puoi anche utilizzare gerarchie, applicare controlli di accesso granulari per risorse come gli utenti e utilizzare tag.

In questo argomento vengono fornite informazioni sulla configurazione dei controlli degli accessi basati su gerarchia.

Panoramica di

Hierarchy-based il controllo degli accessi consente di configurare l'accesso granulare a risorse specifiche in base alla gerarchia degli agenti assegnata a un utente. È possibile configurare i controlli di accesso basati sulla gerarchia utilizzando il sito Web o l' API/SDK amministratore. Connect Customer  

Gli utenti sono l’unica risorsa che supporta il controllo degli accessi basato su gerarchia. Questo modello di autorizzazione funziona con il controllo degli accessi basato su tag in modo da poter limitare l’accesso agli utenti, permettendo loro di vedere solo gli altri utenti che appartengono allo stesso gruppo gerarchico e a cui sono associati tag specifici.

Nota

Dopo aver applicato il controllo degli accessi basato su gerarchia agli utenti, questi possono accedere al proprio gruppo gerarchico e a tutti i relativi discendenti (oltre il livello secondario).

Applica il controllo degli accessi basato sulla gerarchia utilizzando il API/SDK

Per utilizzare le gerarchie per controllare l'accesso alle risorse all'interno AWS dei tuoi account, devi fornire le informazioni della gerarchia nell'elemento condition di una policy IAM. Ad esempio, per controllare l'accesso a un utente appartenente a una gerarchia specifica, utilizza la chiave connect:HierarchyGroupL3Id/hierarchyGroupId condition, insieme a un operatore specifico, StringEquals per specificare a quale gruppo gerarchico deve appartenere l'utente, in modo da consentirgli determinate azioni.

Di seguito sono riportate le chiavi di condizione supportate:

  1. connect:HierarchyGroupL1Id/hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

Ogni chiave rappresenta l’ID di un determinato gruppo gerarchico in uno specifico livello della struttura gerarchica dell’utente.

Applica il controllo degli accessi basato sulla gerarchia utilizzando il Connect Customer sito web di amministrazione

Per utilizzare le gerarchie per controllare l'accesso alle risorse del sito Web di Connect Customer amministrazione, è necessario configurare la sezione di controllo degli accessi all'interno di un determinato profilo di sicurezza.

Ad esempio, per abilitare il controllo granulare degli accessi per un determinato utente in base alla gerarchia a cui appartiene, devi configurare l’utente come risorsa ad accesso controllato. A tale scopo, hai a disposizione le due seguenti opzioni:

  1. Applicare il controllo degli accessi basato su gerarchia in base alla gerarchia dell’utente

    Questa opzione garantisce che l’utente a cui viene concesso l’accesso possa gestire solo gli utenti che appartengono alla gerarchia in questione. Ad esempio, l’abilitazione di questa configurazione per un determinato utente consente a quest’ultimo di gestire altri utenti che appartengono al gruppo gerarchico dell’utente o a un gruppo gerarchico secondario.

  2. Applicare il controllo degli accessi basato su gerarchia in base a una gerarchia specifica

    Questa opzione garantisce che l’utente a cui viene concesso l’accesso possa gestire solo gli utenti che appartengono alla gerarchia definita nel profilo di sicurezza. Ad esempio, l’abilitazione di questa configurazione per un determinato utente consente a quest’ultimo di gestire altri utenti che appartengono al gruppo gerarchico specificato nel profilo di sicurezza o a un gruppo gerarchico secondario.

Limitazioni di configurazione

Il controllo degli accessi granulare è configurato in un profilo di sicurezza. Agli utenti possono essere assegnati al massimo due profili di sicurezza che applicano un controllo degli accessi granulare. In questo caso, le autorizzazioni diventano meno restrittive e agiscono come un’unione di entrambi i set di autorizzazioni.

Ad esempio, se un profilo di sicurezza applica il controllo degli accessi basato su gerarchia e un altro applica il controllo degli accessi basato su tag, l’utente può gestire qualsiasi utente appartenente alla stessa gerarchia o contrassegnato con il tag specificato. Se il controllo degli accessi basato su tag e quello basato su gerarchia sono configurati come parte dello stesso profilo di sicurezza, dovranno essere soddisfatte entrambe le condizioni. In questo caso, l’utente può gestire solo gli utenti che appartengono alla stessa gerarchia e che sono contrassegnati con un determinato tag. 

Un utente può avere altri profili di sicurezza, purché i profili aggiuntivi non prevedano l’applicazione del controllo degli accessi granulare. Se sono presenti più profili di sicurezza con autorizzazioni sovrapposte a livello delle risorse, viene applicato il profilo di sicurezza senza controllo degli accessi basato su gerarchia a scapito di quello con controllo degli accessi basato su gerarchia.

I ruoli collegati al servizio sono necessari per configurare il controllo degli accessi basato sulla gerarchia. Se la tua istanza è stata creata dopo ottobre 2018, è disponibile per impostazione predefinita con l'istanza Connect Customer. Tuttavia, se disponi di un'istanza precedente, consulta Utilizzare ruoli collegati al servizio per Connect Customer per istruzioni su come abilitare i ruoli collegati al servizio.

Best practice per l’applicazione di controlli degli accessi basati su gerarchia

  • Consulta il modello di responsabilità condivisa AWS.

    L'applicazione del controllo degli accessi basato sulla gerarchia è una funzionalità di configurazione avanzata supportata da Connect Customer e che segue il modello di responsabilità AWS condivisa. È importante verificare di configurare correttamente l'istanza in modo da soddisfare le esigenze di autorizzazione desiderate.

  • Assicurati di aver abilitato almeno le autorizzazioni di visualizzazione per le risorse per cui abiliti il controllo degli accessi basato su gerarchia.

    In questo modo si eviteranno le incongruenze di autorizzazione che comportano richieste di accesso negate. Hierarchy-based i controlli di accesso sono abilitati a livello di risorsa, il che significa che ogni risorsa può essere limitata in modo indipendente.

  • Esamina attentamente le autorizzazioni concesse quando viene applicato il controllo degli accessi basato su gerarchia.

    Ad esempio, abilitando la gerarchia, l'accesso limitato agli utenti e alle view/edit autorizzazioni, i profili di sicurezza consentirebbero a un utente di utilizzare create/update un profilo di sicurezza con privilegi che sostituiscono le impostazioni di controllo dell'accesso utente previste.

    • Quando accedono alla console Connect Customer con controlli di accesso basati sulla gerarchia, gli utenti non saranno in grado di accedere ai registri delle modifiche cronologiche per le risorse a cui sono limitati.

    • Quando tenti di assegnare una risorsa secondaria a una risorsa principale con controllo degli accessi basato su gerarchia applicato alla risorsa secondaria, l’operazione verrà negata se la risorsa secondaria non appartiene alla tua gerarchia.

      Ad esempio, se tenti di assegnare un utente a una connessione rapida ma non hai accesso alla gerarchia dell’utente, l’operazione ha esito negativo. Questo non è tuttavia vero per le dissociazioni. Puoi liberamente annullare l’associazione di un utente anche con il controllo degli accessi basato su gerarchia applicato, presupponendo che tu abbia accesso alla connessione rapida. Questo perché le dissociazioni consistono nell’eliminazione di una relazione esistente (e non di nuove associazioni) tra due risorse e sono modellate come parte della risorsa principale (in questo caso, la connessione rapida), a cui l’utente ha già accesso.

  • Presta attenzione alle autorizzazioni concesse alle risorse principali, poiché l’associazione degli utenti potrebbe essere annullata all’insaputa dei rispettivi supervisori.

  • Disabilita l'accesso alle seguenti funzionalità quando applichi controlli di accesso basati sulla gerarchia nel sito Web di amministrazione. Connect Customer

    Funzionalità Autorizzazione del profilo di sicurezza che disabilita l’accesso
    Ricerca contatti Ricerca contatti - Visualizza
    Login/Login nostro rapporto Login/Login fuori rapporto - Visualizza
    Regole Regole – Visualizza
    Report salvati. Report salvati – Visualizza
    Gerarchia degli agenti Gerarchia di agenti - Visualizza
    Flow/Flow modulo Moduli di flusso – Visualizza
    Pianificazione Gestore pianificazione – Visualizza

    Se non disabiliti l'accesso a queste risorse, gli utenti con controlli di accesso basati sulla gerarchia su una particolare risorsa che visualizzano queste pagine nel sito Web di Connect Customer amministrazione potrebbero visualizzare un elenco di utenti senza restrizioni. Per ulteriori informazioni su come gestire le autorizzazioni, consulta Elenco delle autorizzazioni dei profili di sicurezza.