Integrazione del gestore dell'identità digitale con un endpoint di accesso SAML di Amazon Connect Global Resiliency - Amazon Connect
Prima di iniziareInformazioni importantiCome integrare il gestore dell'identità

Integrazione del gestore dell'identità digitale con un endpoint di accesso SAML di Amazon Connect Global Resiliency

Per consentire ai tuoi agenti di effettuare l'accesso una sola volta e di accedere a entrambe le regioni AWS per gestire i contatti dalla regione attualmente attiva, devi configurare le impostazioni IAM per utilizzare l'endpoint di accesso SAML globale.

Prima di iniziare

Per utilizzare Amazon Connect Global Resiliency devi abilitare SAML per la tua istanza Amazon Connect. Per ulteriori informazioni su come iniziare a utilizzare la federazione IAM, consulta Abilitazione di utenti federati SAML 2.0 per accedere alla Console di gestione AWS.

Informazioni importanti

  • Per eseguire la procedura riportata in questo argomento è necessario l'ID dell'istanza. Per istruzioni su come trovarlo, consulta Trovare l’ID o l’ARN dell’istanza Amazon Connect.

  • È inoltre necessario conoscere la regione di origine delle istanze Amazon Connect. Per istruzioni su come trovarlo, consulta Come trovare la regione di origine delle istanze Amazon Connect.

  • Se stai incorporando l’applicazione Connect in un iframe, devi assicurarti che il tuo dominio sia presente nell’elenco delle origini approvate sia nell’istanza di origine che nell’istanza di replica affinché l’accesso globale funzioni.

    Per configurare le origini approvate a livello di istanza, segui la procedura riportata in Utilizzare un elenco elementi consentiti per le applicazioni integrate in Amazon Connect.

  • Gli agenti devono essere già stati creati sia nelle istanze Amazon Connect di origine che di replica e avere lo stesso nome utente di quello della sessione del ruolo del gestore dell'identità digitale (IdP). In caso contrario, riceverai un'eccezione UserNotOnboardedException e rischierai di perdere le funzionalità di ridondanza degli agenti tra le istanze.

  • È necessario associare gli agenti a un gruppo di distribuzione del traffico prima che provino a eseguire l'accesso. In caso contrario, il tentativo di accesso avrà esito negativo e restituirà un errore ResourceNotFoundException. Per informazioni su come configurare i gruppi di distribuzione del traffico e associare gli agenti ad essi, consulta Associazione degli agenti alle istanze di Amazon Connect in più Regioni AWS.

  • Quando i tuoi agenti eseguono la federazione in Amazon Connect utilizzando il nuovo URL di accesso SAML, Amazon Connect Global Resiliency tenta sempre di effettuare il log degli agenti nelle regioni/istanze di origine e di replica, indipendentemente dalla configurazione di SignInConfig nel gruppo di distribuzione del traffico. Puoi verificarlo controllando i log di CloudTrail.

  • La distribuzione SignInConfig nel gruppo di distribuzione del traffico predefinito determina solo quale Regione AWS viene utilizzata per facilitare l'accesso. Indipendentemente da come è configurata la distribuzione SignInConfig, Amazon Connect tenta sempre di far accedere gli agenti a entrambe le regioni dell'istanza Amazon Connect.

  • Dopo aver replicato un'istanza Amazon Connect, viene generato un solo endpoint di accesso SAML per le istanze. Questo endpoint include sempre la Regione AWS di origine nell'URL.

  • Non è necessario configurare uno stato dell'inoltro quando si utilizza l'URL di accesso SAML personalizzato con Amazon Connect Global Resiliency.

Come integrare il gestore dell'identità

  1. Quando crei una replica di un'istanza Amazon Connect utilizzando l'API ReplicateInstance, viene generato un URL di accesso SAML personalizzato per le istanze Amazon Connect. L'URL viene generato nel formato seguente:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-id è l'ID dell'istanza per entrambe le istanze nel gruppo. L'ID dell'istanza è identico nelle regioni di origine e di replica.

    2. source-region corrisponde alla regione AWS di origine in cui è stata chiamata l'API ReplicateInstance.

  2. Aggiungi la seguente policy di attendibilità al tuo ruolo nella Federazione IAM. Utilizza l'URL per l'endpoint di accesso SAML globale come mostrato nell'esempio seguente.

    JSON
    {
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
              "arn:aws:iam::111122223333:saml-provider/MySAMLProvider"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    Nota

    saml-provider-arn è la risorsa del gestore di identità creata in IAM.

  3. Concedi al tuo ruolo nella Federazione IAM l'accesso a connect:GetFederationToken per il tuo InstanceId. Ad esempio:

    JSON
    {
"Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. Aggiungi una mappatura degli attributi all'applicazione del gestore di identità utilizzando le seguenti stringhe di attributi e valori.

    Attributo Valore

    https://aws.amazon.com/SAML/Attributes/Role

    saml-role-arn, identity-provider-arn

  5. Configura l'URL Assertion Consumer Service (ACS) del gestore di identità in modo che punti al tuo URL di accesso SAML personalizzato. Utilizza il seguente esempio per l'URL ACS:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. Imposta i seguenti campi nei parametri dell'URL:

    • instanceId: l'identificativo dell'istanza Amazon Connect. Per istruzioni su come trovare l'ID dell'istanza, consulta Trovare l’ID o l’ARN dell’istanza Amazon Connect.

    • accountId: l'ID dell'account AWS in cui si trovano le istanze di Amazon Connect.

    • role: è impostato sul nome o sul nome della risorsa Amazon (ARN) del ruolo SAML utilizzato per la federazione Amazon Connect.

    • idp: è impostato sul nome o sul nome della risorsa Amazon (ARN) del gestore di identità SAML in IAM.

    • destination: è impostato sul percorso opzionale che gli agenti utilizzeranno per accedere all'istanza dopo aver eseguito l'accesso (ad esempio: /agent-app-v2).