As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Definir restrições de endereço IP e tempos limite de sessão no Amazon Connect
nota
Esse recurso está em prévia de lançamento e sujeito a alterações. Para obter acesso a esse recurso, entre em contato com o arquiteto de soluções, gerente técnico de contas ou Suporte do Amazon Connect.
Para restringir ainda mais a central de atendimento, por exemplo, para cumprir os requisitos e regulamentos do setor, é possível configurar restrições de endereço IP e tempos limite de sessão.
-
As restrições de endereço IP exigem que os atendentes se conectem somente a partir da sua VPN ou bloqueiem o acesso de países ou sub-redes específicos.
-
O tempo limite da sessão exige que os atendentes façam login no Amazon Connect novamente.
No Amazon Connect, você configura um perfil de autenticação para definir restrições de endereço IP e durações de sessão de atendentes conectados. Um perfil de autenticação é um recurso que armazena as configurações de autenticação dos usuários na central de atendimento.
Introdução aos perfis de autenticação
A instância do Amazon Connect inclui um perfil de autenticação padrão. Esse perfil de autenticação se aplica a todos os usuários do seu contact center por padrão e não precisa ser atribuído.
Atualmente, os perfis de autenticação só podem ser configurados com o AWS SDK. Para configurar seu perfil de autenticação padrão, use os comandos a seguir.
dica
O ID da instância do Amazon Connect é necessário para executar esses comandos. Para obter instruções sobre como localizar o ID da instância, consulte Encontrar o ID ou ARN da instância do Amazon Connect.
-
Liste os perfis de autenticação na instância para obter o ID do perfil de autenticação que deseja atualizar. Você pode chamar a ListAuthenticationProfileAPI ou executar o comando da
list-authentication-profilesCLI.Veja a seguir um exemplo de comando
list-authentication-profiles:aws connect list-authentication-profiles --instance-idyour-instance-idVeja a seguir um exemplo do perfil de autenticação padrão que é retornado pelo comando
list-authentication-profiles.{ "AuthenticationProfileSummaryList": [ { "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id", "Id": "profile-id", "IsDefault": true, "LastModifiedRegion": "us-west-2", "LastModifiedTime": 1.719249173664E9, "Name": "Default Authentication Profile" } ], "NextToken": null } -
Visualize a configuração do perfil de autenticação que deseja atualizar. Você pode chamar DescribeAuthenticationProfileou executar o comando
describe-authentication-profileCLI.Veja a seguir um exemplo de comando
describe-authentication-profile:aws connect describe-authentication-profile --instance-idyour-instance-id--profile-idprofile-idVeja a seguir um exemplo da informação retornada pelo comando
describe-authentication-profile.{ "AuthenticationProfile": { "AllowedIps": [], "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id", "BlockedIps": [], "CreatedTime": 1.718999177811E9, "Description": "A basic default Authentication Profile", "Id": "profile-id", "IsDefault": true, "LastModifiedRegion": "us-west-2", "LastModifiedTime": 1.719249173664E9, "MaxSessionDuration": 720, "Name": "Default Authentication Profile", "PeriodicSessionDuration": 60, "SessionInactivityDuration": 60, "SessionInactivityHandlingEnabled": false } }Para obter uma descrição de cada campo, consulte AuthenticationProfilea Referência da API Amazon Connect.
-
Configure o perfil de autenticação usando a UpdateAuthenticationProfileAPI ou o comando
update-authentication-profileCLI. Todos os campos excetoInstanceIdeProfileIdsão opcionais. Somente as configurações definidas na chamada de API são alteradas.Veja um exemplo de comando
update-authentication-profilea seguir. Ele configura o perfil de autenticação padrão que é atribuído automaticamente a todos os usuários. Ele permite alguns endereços IP, bloqueia outros, permite logouts automáticos em caso de inatividade do usuário e define a duração da inatividade da sessão para 60 minutos.aws connect update-authentication-profile --instance-idyour-instance-id--profile-idprofile-id--name "Default Authentication Profile" --description "A basic default Authentication Profile" --allowed-ips "ip-range-1" "ip-range-2" ... --blocked-ips "ip-range-3" "ip-range-4" ... --session-inactivity-handling-enabled --session-inactivity-duration 60
Configurar o controle de acesso com base em IP
Se você quiser configurar o acesso à central de atendimento com base em endereços IP, pode usar o recurso de controle de acesso baseado em IP do perfil de autenticação.
Há dois tipos de configurações de IP que você pode configurar em um perfil de autenticação: intervalos de endereços IP permitidos e intervalos de endereços IP bloqueados. Os pontos a seguir descrevem como funciona o controle de acesso com base em IP.
-
Os endereços IP podem estar em ambos IPV4 os IPV6 formatos.
-
É possível definir endereços IP individuais e intervalos de endereços IP na notação CIDR.
-
As configurações de IP bloqueadas sempre têm precedência.
-
Se os endereços IP estiverem definidos na lista de IPs permitidos, apenas esses endereços IP serão permitidos.
-
Esses endereços IP podem ser restringidos pela lista de IPs bloqueados.
-
-
Se apenas endereços IP bloqueados forem definidos, qualquer endereço IP poderá acessar a instância, exceto aqueles definidos na lista de bloqueados.
-
Se os endereços IP estiverem definidos nas listas de endereços IP permitidos e bloqueados, apenas os endereços IP definidos no intervalo permitido serão permitidos, menos os endereços IP no intervalo bloqueado.
nota
O controle de acesso baseado em endereço IP não se aplica ao login de emergência do administrador. Para aplicar restrições a esse usuário, é possível aplicar restrições SourceIp nas políticas do IAM para a API connect:AdminGetEmergencyAccessToken.
Quando o endereço IP de um usuário é determinado como bloqueado pela instância, a sessão do usuário é invalidada. Um evento de logout é publicado no relatório Login/Logout.
A experiência dos usuários quando a verificação do endereço IP falha
Atendentes
Quando um atendente está ativo no Painel de controle do contato (CCP), seu endereço IP é verificado periodicamente.
Veja a seguir o que acontece se o endereço IP falhar na verificação:
-
Se o atendente não estiver em uma chamada ativa, ele será desconectado se o endereço IP mudar para um endereço não permitido.
-
Se o agente estiver em uma chamada ativa, a sessão do agente será invalidada. No entanto, isso não encerra a chamada atualmente ativa. Veja o que acontece:
-
O atendente perde a capacidade de realizar qualquer ação, como alterar o status do atendente, transferir chamadas, colocar a chamada em espera, encerrar a chamada ou criar um caso.
-
O atendente é notificado de que sua capacidade de realizar ações no CCP é restrita.
-
Se eles fizerem login com sucesso após a invalidação da sessão, eles serão colocados novamente na chamada ativa e poderão realizar ações novamente.
-
Administradores e usuários que usam o site de administração Amazon Connect
Quando a verificação do endereço IP falha para administradores e outros usuários que realizam ações no site de administração do Amazon Connect , como salvar atualizações em recursos ou acessar chamadas ativas, eles são automaticamente desconectados.
Exemplo de configurações de endereço IP
Exemplo 1: endereços IP definidos apenas na lista de IPs permitidos
-
AllowedIps: [
111.222.0.0/16] -
BlockedIps: [ ]
Resultado:
-
Somente endereços IP entre
111.222.0.0e111.222.255.255têm permissão para acessar a instância.
Exemplo 2: endereços IP definidos apenas na lista de IPs bloqueados
-
AllowedIps: [ ]
-
BlockedIps: [
155.155.155.0/24]
Resultado:
-
Todos os endereços IP são permitidos, exceto o intervalo de endereços IP
155.155.155.0 - 155.155.155.255, inclusive.
Exemplo 3: endereços IP definidos na lista de IPs permitidos e na lista de IPs bloqueados
-
AllowedIps: [
200.255.0.0/16] -
BlockedIps: [
200.255.10.0/24, 200.255.40.50, 192.123.211.211]
Resultado:
-
Endereços IP entre
200.255.0.0 - 200.255.255.255são permitidos, menos(200.255.10.0 - 200.255.10.255 AND 200.255.40.50). -
Efetivamente,
200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255são permitidos. -
192.123.211.211é efetivamente ignorado, pois não está no intervalo permitido.
Exemplo 4: nenhum endereço IP definido na lista de IPs permitidos ou na lista de IPs bloqueados
-
AllowedIps: [ ]
-
BlockedIps: [ ]
Nesse caso, não há restrições.
Importante
A allowedIps lista define o intervalo de possibilidades IPs permitido em seu contact center somente se não estiver vazio. Se estiver vazia, qualquer endereço IP poderá acessar a central de atendimento, a menos que seja explicitamente bloqueado pela lista blockedIps.
Configurar os tempos limite da sessão do usuário
Uma sessão do Amazon Connect é definida como um período contínuo de acesso autenticado ao site da sua central de atendimento. Há dois tempos limite de sessão que se aplicam às sessões de usuários na central de atendimento:
-
Duração máxima da sessão: esse valor representa o período máximo de tempo em que um usuário do contact center pode estar conectado antes de ser forçado a entrar novamente. Esse valor é padronizado para 12 horas e não é configurável.
-
Duração da inatividade da sessão: esse valor representa o período antes de um agente ser automaticamente desconectado do contact center quando fica inativo.
Por padrão, os usuários em sua instância do Amazon Connect permanecem conectados até que a duração máxima da sessão de 12 horas termine, sem o desligamento automático por inatividade. No entanto, organizações com requisitos mais rígidos de segurança e conformidade podem aproveitar os perfis de autenticação para permitir a saída automática quando os usuários ficam inativos. Uma vez ativado, esse recurso monitora os padrões de atividade do usuário e encerra automaticamente as sessões após o término da duração da inatividade da sessão configurada.
Um usuário do contact center é considerado ativo ao realizar qualquer uma das seguintes ações:
-
Atividade do mouse e do teclado no Painel de Controle de Contato (CCP), no Espaço de trabalho do agente ou no site do administrador
-
Presença de um contato de voz ativo
Se for determinado que o usuário está inativo, um pop-up aparecerá na tela avisando o usuário de que sua sessão está prestes a expirar devido à inatividade. Um usuário pode optar por permanecer conectado ou sair.
Para optar pelo desligamento automático em caso de inatividade do usuário, execute as seguintes chamadas de API em um perfil de autenticação em sua instância usando o SDK do Amazon Connect.
aws connect update-authentication-profile --instance-id <your-instance-id> --profile-id <profile-id> --session-inactivity-handling-enabled --session-inactivity-duration <minutes between 15 and 720>
nota
Os clientes que integram seu contact center a um fornecedor terceirizado (como o Salesforce Service Cloud Voice (SCV)) devem consultar a documentação do fornecedor para determinar se esse recurso é compatível antes de habilitar o desligamento automático em caso de inatividade.
nota
Os clientes que utilizam AmazonConnectStreams o AmazonConnect SDK para integrar seus aplicativos web existentes ao Amazon Connect devem implementar o tratamento de atividades como parte de sua integração antes de habilitar o desligamento automático em caso de inatividade do usuário. Consulte a documentação do AmazonConnect SDK AmazonConnectStreams ou do SDK para obter mais informações.
nota
O desligamento automático em caso de inatividade do usuário não é suportado ao usar o Amazon Connect em uma infraestrutura de desktop virtual (VDI) com um modelo de CCP dividido.
