View a markdown version of this page

Integra il tuo provider di identità (IdP) con un endpoint di accesso SAML Connect Customer Global Resiliency - Cliente Amazon Connect
Prima di iniziareInformazioni importantiCome integrare il gestore dell'identità

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Integra il tuo provider di identità (IdP) con un endpoint di accesso SAML Connect Customer Global Resiliency

Per consentire ai tuoi agenti di accedere una sola volta e di accedere a entrambe le AWS regioni per elaborare i contatti dalla regione attualmente attiva, devi configurare le impostazioni IAM per utilizzare l'endpoint SAML di accesso globale.

Prima di iniziare

È necessario abilitare SAML per l'istanza Connect Customer per utilizzare Connect Customer Global Resiliency. Per ulteriori informazioni su come iniziare a utilizzare la federazione IAM, consulta Abilitazione di utenti federati SAML 2.0 per accedere alla Console di gestione AWS.

Informazioni importanti

  • Il failover degli agenti è supportato solo quando si utilizza l'endpoint di accesso globale.

  • Per eseguire la procedura riportata in questo argomento è necessario l'ID dell'istanza. Per istruzioni su come trovarlo, consulta Trova l'ID dell'istanza o l'ARN del tuo Connect Customer.

  • È inoltre necessario conoscere la regione di origine delle istanze Connect Customer. Per istruzioni su come trovarlo, consulta Come trovare la regione di origine delle istanze Connect Customer.

  • Se stai incorporando l’applicazione Connect in un iframe, devi assicurarti che il tuo dominio sia presente nell’elenco delle origini approvate sia nell’istanza di origine che nell’istanza di replica affinché l’accesso globale funzioni.

    Per configurare le origini approvate a livello di istanza, segui la procedura riportata in Usa una lista consentita per le applicazioni integrate in Connect Customer.

  • Gli agenti devono essere già creati nelle istanze Connect Customer di origine e di replica e avere lo stesso nome utente del nome della sessione di ruolo del provider di identità (IdP). In caso contrario, riceverai un'eccezione UserNotOnboardedException e rischierai di perdere le funzionalità di ridondanza degli agenti tra le istanze.

  • È necessario associare gli agenti a un gruppo di distribuzione del traffico prima che provino a eseguire l'accesso. In caso contrario, il tentativo di accesso avrà esito negativo e restituirà un errore ResourceNotFoundException. Per informazioni su come configurare i gruppi di distribuzione del traffico e associare gli agenti ad essi, consulta Associa gli agenti alle istanze Connect Customer su più istanze AWS Regioni.

  • Quando i tuoi agenti si uniscono a Connect Customer con il nuovo URL di accesso SAML, Connect Customer Global Resiliency tenta sempre di accedere all'agente sia nelle regioni/istanze di origine che di replica, indipendentemente dalla configurazione del gruppo di distribuzione del SignInConfig traffico. Puoi verificarlo controllando i log. CloudTrail

  • La SignInConfig distribuzione nel gruppo di distribuzione del traffico predefinito determina solo quale Regione AWS viene utilizzato per facilitare l'accesso. Indipendentemente da come è configurata la SignInConfig distribuzione, Connect Customer tenta sempre di far accedere gli agenti a entrambe le regioni dell'istanza Connect Customer.

  • Dopo aver replicato un'istanza Connect Customer, viene generato un solo endpoint di accesso SAML per le istanze. Questo endpoint contiene sempre la fonte nell'URL. Regione AWS

  • Non è necessario configurare uno stato di inoltro quando si utilizza l'URL di accesso SAML personalizzato con Connect Customer Global Resiliency.

Come integrare il gestore dell'identità

  1. Quando crei una replica della tua istanza Connect Customer utilizzando l'ReplicateInstanceAPI, viene generato un URL di accesso SAML personalizzato per le tue istanze Connect Customer. L'URL viene generato nel formato seguente:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-idè l'ID dell'istanza per entrambe le istanze del gruppo di istanze. L'ID dell'istanza è identico nelle regioni di origine e di replica.

    2. source-regioncorrisponde alla AWS regione di origine in cui è stata chiamata l'ReplicateInstanceAPI.

  2. Aggiungi la seguente policy di attendibilità al tuo ruolo nella Federazione IAM. Utilizza l'URL per l'endpoint di accesso SAML globale come mostrato nell'esempio seguente.

    JSON
    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
              "arn:aws:iam::111122223333:saml-provider/MySAMLProvider"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    Nota

    saml-provider-arn è la risorsa del gestore di identità creata in IAM.

  3. Concedi al tuo ruolo nella Federazione IAM l'accesso a connect:GetFederationToken per il tuo InstanceId. Esempio:

    JSON
    {
"Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. Aggiungi una mappatura degli attributi all'applicazione del gestore di identità utilizzando le seguenti stringhe di attributi e valori.

    Attributo Valore

    https://aws.amazon.com/SAML/Attributes/Role

    saml-role-arn,identity-provider-arn

  5. Configura l'URL Assertion Consumer Service (ACS) del gestore di identità in modo che punti al tuo URL di accesso SAML personalizzato. Utilizza il seguente esempio per l'URL ACS:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. Imposta i seguenti campi nei parametri dell'URL:

    • instanceId: l'identificatore dell'istanza Connect Customer. Per istruzioni su come trovare l'ID dell'istanza, consulta Trova l'ID dell'istanza o l'ARN del tuo Connect Customer.

    • accountId: l'ID dell' AWS account in cui si trovano le istanze Connect Customer.

    • role: impostato sul nome o Amazon Resource Name (ARN) del ruolo SAML utilizzato per la federazione Connect Customer.

    • idp: è impostato sul nome o sul nome della risorsa Amazon (ARN) del gestore di identità SAML in IAM.

    • destination: è impostato sul percorso opzionale che gli agenti utilizzeranno per accedere all'istanza dopo aver eseguito l'accesso (ad esempio: /agent-app-v2).