As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar SAML com IAM para Connect Customer
O Connect Customer oferece suporte à federação de identidades configurando o Security Assertion Markup Language (SAML) 2.0 com AWS IAM para permitir o login único (SSO) baseado na web da sua organização para sua instância do Connect Customer. Isso permite que seus usuários entrem em um portal em sua organização hospedado por um provedor de identidade (IdP) compatível com SAML 2.0 e façam login em uma instância do Connect Customer com uma experiência de login único sem precisar fornecer credenciais separadas para o Connect Customer.
## Observações importantes
Antes de começar, verifique o seguinte:
+ Essas instruções não se aplicam às implantações do Connect Customer Global Resiliency. Para obter informações que se aplicam ao Connect Customer Global Resiliency, consulte[Integre seu provedor de identidade (IdP) com um endpoint de login SAML do Connect Customer Global Resiliency](integrate-idp.md).
+ [Escolher a autenticação baseada em SAML 2.0 como método de gerenciamento de identidade para sua instância do Connect Customer requer a configuração da federação.AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)
+ O nome de usuário no Connect Customer deve corresponder ao atributo RoleSessionName SAML especificado na resposta SAML retornada pelo provedor de identidade.
+ Connect Customer não suporta federação reversa. Ou seja, você não pode fazer login diretamente Connect Customer. Se você tentasse, receberia uma mensagem *Sessão expirada*. A autenticação deve ser feita a partir do provedor de identidades (IdP) e não do provedor de serviços (SP) (Connect Customer).
+ Por padrão, a maioria dos provedores de identidade usa o endpoint de AWS login global como o Application Consumer Service (ACS), que está hospedado no Leste dos EUA (Norte da Virgínia). Recomendamos substituir esse valor para usar o endpoint regional que corresponde à Região da AWS em que sua instância foi criada.
+ Todos os Connect Customer nomes de usuário diferenciam maiúsculas de minúsculas, mesmo ao usar SAML.
+ Se você tiver instâncias antigas do Connect Customer que foram configuradas com o SAML e precisar atualizar seu domínio do Connect Customer, consulte[Configurações pessoais](update-your-connect-domain.md#new-domain-settings).
## Visão geral do uso do SAML com o Connect Customer
O diagrama a seguir mostra a ordem em que as etapas ocorrem nas solicitações SAML para autenticar usuários e federar com o Connect Customer. Não se trata de um fluxograma para um modelo de ameaça.
As solicitações de SAML percorrem as etapas a seguir:
1. O usuário navega até um portal interno que inclui um link para fazer login no Connect Customer. O link é definido no provedor de identidade.
1. O serviço de federação solicita autenticação do armazenamento de identidades da organização.
1. O armazenamento de identidades autentica o usuário e retorna a resposta de autenticação ao serviço de federação.
1. Quando a autenticação for bem-sucedida, o serviço de federação publicará a declaração do SAML no navegador do usuário.
1. O navegador do usuário publica a declaração SAML no endpoint SAML de AWS login (). https://signin.aws.amazon.com/saml AWS o login recebe a solicitação SAML, processa a solicitação, autentica o usuário e inicia um redirecionamento do navegador para o endpoint Connect Customer com o token de autenticação.
1. Usando o token de autenticação de AWS, o Connect Customer autoriza o usuário e abre o Connect Customer em seu navegador.
## Habilitando a SAML-based autenticação para Connect Customer
As etapas a seguir são necessárias para ativar e configurar a autenticação SAML para uso com sua instância do Connect Customer:
1. Crie uma instância do Connect Customer e selecione a autenticação baseada em SAML 2.0 para gerenciamento de identidade.
1. Ative a federação SAML entre seu provedor de identidade e. AWS
1. Adicione usuários do Connect Customer à sua instância do Connect Customer. Faça login na instância usando a conta de administrador criada quando você criou a instância. Acesse a página **User Management (Gerenciamento de usuários)** e adicione usuários.
**Importante**
**Para obter uma lista de caracteres permitidos em nomes de usuário**, consulte a documentação da `Username` propriedade na [CreateUser](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html)ação.
Devido à associação de um usuário do Connect Customer e uma função AWS do IAM, o nome do usuário deve corresponder exatamente ao RoleSessionName configurado com sua integração de federação AWS do IAM, que normalmente acaba sendo o nome do usuário em seu diretório. O formato do nome de usuário deve corresponder à interseção das condições de formato do [RoleSessionName](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)e de um [usuário do Connect Customer](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html#connect-CreateUser-request-DirectoryUserId), conforme mostrado no diagrama a seguir:
1. Configure o provedor de identidade para as declarações SAML, a resposta de autenticação e o estado de retransmissão. Os usuários fazem login em seu provedor de identidade. Quando bem-sucedidos, eles são redirecionados para sua instância do Connect Customer. A função do IAM é usada para federar com AWS, o que permite acesso ao Connect Customer.
## Selecionar autenticação baseada em SAML 2.0 durante a criação de instância
Ao criar sua instância do Connect Customer, selecione a opção de autenticação baseada em SAML 2.0 para gerenciamento de identidade. Na segunda etapa, quando você cria o administrador para a instância, o nome de usuário que você especifica deve corresponder exatamente a um nome de usuário em seu diretório de rede existente. Não há opção para especificar uma senha para o administrador porque as senhas são gerenciadas por meio de seu diretório existente. O administrador é criado no Connect Customer e atribuído ao perfil de segurança do **administrador**.
Você pode fazer login na sua instância do Connect Customer, por meio do seu IdP, usando a conta de administrador para adicionar mais usuários.
## Ative a federação SAML entre seu provedor de identidade e AWS
Para habilitar a SAML-based autenticação para o Connect Customer, você deve criar um provedor de identidade no console do IAM. Para obter mais informações, consulte [Habilitando usuários federados do SAML 2.0 para acessar o AWS Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) Console.
O processo para criar um provedor de identidade AWS é o mesmo para o Connect Customer. A etapa 6 no fluxograma acima mostra que o cliente é enviado para sua instância do Connect Customer em vez da Console de gerenciamento da AWS.
As etapas necessárias para habilitar a federação SAML AWS incluem:
1. Crie um provedor SAML em AWS. Para obter mais informações, consulte [Criar provedores de identidade SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html).
1. Criar um perfil do IAM para a federação do SAML 2.0 com o Console de gerenciamento da AWS. Crie apenas uma função para federação (apenas uma função é necessária e usada para federação). O perfil do IAM determina quais permissões os usuários que fazem login por meio de seu provedor de identidade têm na AWS. Nesse caso, as permissões são para acessar o Connect Customer. Você pode controlar as permissões para os recursos do Connect Customer usando perfis de segurança no Connect Customer. Para obter mais informações, consulte [Criar uma função para a federação do SAML 2.0 (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html).
Na etapa 5, escolha **Permitir acesso programático e ao console AWS de gerenciamento**. Crie a política de confiança descrita no tópico do procedimento *Como se preparar para criar uma função para federação do SAML 2.0*. Em seguida, crie uma política para atribuir permissões à sua instância do Connect Customer. As permissões começam na etapa 9 do procedimento *Para criar uma função para SAML-based federação*.
**Para criar uma política para atribuir permissões à função do IAM para a federação do SAML**
1. Na página **Attach permissions policy (Anexar política de permissões)**, escolha **Create policy (Criar política)**.
1. Na página **Create policy (Criar política)**, escolha **JSON**.
1. Copie um dos seguintes exemplos de política e cole-o no editor de política JSON, substituindo qualquer texto existente. Você pode usar uma das políticas para habilitar a federação do SAML ou personalizá-las para seus requisitos específicos.
Use essa política para habilitar a federação para todos os usuários em uma instância específica do Connect Customer. Para SAML-based autenticação, substitua o valor do `Resource` pelo ARN da instância que você criou:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": "connect:GetFederationToken",
"Resource": [
"arn:aws:connect:us-east-1:361814831152:instance/2fb42df9-78a2-2e74-d572-c8af67ed289b/user/${aws:userid}"
]
}
]
}
```
------
Use essa política para habilitar a federação para instâncias específicas do Connect Customer. Substitua o valor do `connect:InstanceId` do ID da instância pela sua instância.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": "connect:GetFederationToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"connect:InstanceId": "2fb42df9-78a2-2e74-d572-c8af67ed289b"
}
}
}
]
}
```
------
Use esta política para habilitar a federação para várias instâncias. Observe os colchetes ao redor dos IDs de instância listados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": "connect:GetFederationToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"connect:InstanceId": [
"2fb42df9-78a2-2e74-d572-c8af67ed289b",
"1234567-78a2-2e74-d572-c8af67ed289b"]
}
}
}
]
}
```
------
1. Após criar a política, selecione **Next: Review (Próximo: revisar)**. Em seguida, retorne à etapa 10 no procedimento *Para criar uma função para SAML-based federação* no tópico [Criando uma função para a federação SAML 2.0 (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html).
1. Configurar sua rede como um provedor SAML para a AWS. Para obter mais informações, consulte [Habilitando usuários federados do SAML 2.0 para acessar o AWS Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) Console.
1. Configure declarações do SAML para a resposta de autenticação. Para obter mais informações, consulte [Configuração de declarações do SAML para a resposta de autenticação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html).
1. Para Connect Customer, deixe a **URL inicial do aplicativo** em branco.
1. Substitua a URL do Application Consumer Service (ACS) em seu provedor de identidade para usar o endpoint regional que coincide com o da Região da AWS sua instância do Connect Customer. Para obter mais informações, consulte [Configurar o provedor de identidades para usar endpoints SAML regionais](#regionally-isolated-saml).
1. Configure o estado de retransmissão do seu provedor de identidade para apontar para sua instância do Connect Customer. A URL a ser usada para o estado de retransmissão é composta da seguinte forma:
`https://{{region-id}}.console.aws.amazon.com/connect/federate/{{instance-id}}`
{{region-id}}Substitua o pelo nome da região em que você criou sua instância do Connect Customer, como us-east-1 para Leste dos EUA (Norte da Virgínia). {{instance-id}}Substitua o pelo ID da instância.
GovCloud Por exemplo, o URL é **https://console.amazonaws-us-gov.com/**:
+ https://console.amazonaws-us-gov.com/connect/federate/instance-id
**nota**
Você pode encontrar o ID da instância escolhendo o alias da instância no console Connect Customer. O ID da instância é o conjunto de números e letras após '/instance' no **Instance ARN (ARN da instância)** exibido na página **Overview (Visão geral)**. Por exemplo, o ID da instância no seguinte ARN de instância é *178c75e4-b3de-4839-a6aa-e321ab3f3770*.
arn:aws:connect:us-east-1:450725743157:instance/*178c75e4-b3de-4839-a6aa-e321ab3f3770*
## Configurar o provedor de identidades para usar endpoints SAML regionais
Para oferecer a melhor disponibilidade, recomendamos usar o endpoint SAML regional que coincide com sua instância do Connect Customer em vez do endpoint global padrão.
As etapas a seguir são independentes de IdP; elas funcionam para qualquer IdP SAML (por exemplo, Okta, Ping, OneLogin Shibboleth, ADFS, AzureAD e muito mais).
1. Atualize (ou substitua) o URL do Assertion Consumer Service (ACS). Há duas maneiras de fazer isso:
+ **Opção 1**: faça o download dos metadados do AWS SAML e atualize o `Location` atributo para a região de sua escolha. Carregue essa nova versão dos metadados do AWS SAML em seu IdP.
Veja a seguir um exemplo de uma revisão:
``
+ **Opção 2**: substituir o URL AssertionConsumerService (ACS) em seu IdP. IdPs Como o Okta, que fornece AWS integrações pré-preparadas, você pode substituir a URL do ACS no console de administração. AWS Use o mesmo formato para substituir a região de sua escolha (por exemplo, https://{{region-id}}.signin.aws.amazon. com/saml).
1. Atualize a política de confiança da função associada:
1. Essa etapa precisa ser executada para cada função em cada conta que confia em determinado provedor de identidades.
1. Edite a relação de confiança e substitua a condição `SAML:aud` singular por uma condição com vários valores. Por exemplo:
+ Padrão: "`SAML:aud`“:"https://signin.aws.amazon.com/saml”.
+ Com modificações: "`SAML:aud`“: [" “, https://signin.aws.amazon.com/saml “https://{{region-id}}.signin.aws.amazon. com/saml"]
1. Faça essas alterações nas relações de confiança com antecedência. Elas não devem ser feitas como parte de um plano durante um incidente.
1. Configure um estado de retransmissão para a página do Region-specific console.
1. Se você não fizer essa etapa final, não há garantia de que o processo de login do Region-specific SAML encaminhará o usuário para a página de login do console na mesma região. Essa etapa é mais variada por provedor de identidades, mas há blogs (por exemplo, [How to Use SAML to Automatically Direct Federated Users to a Specific AWS Management Console Page](https://aws.amazon.com/blogs//security/how-to-use-saml-to-automatically-direct-federated-users-to-a-specific-aws-management-console-page/)) que mostram o uso do estado de retransmissão para obter links diretos.
1. Usando o technique/parameters apropriado para seu IdP, defina o estado de retransmissão para o endpoint do console correspondente (por exemplo, https://.console.aws.amazon). {{region-id}} com/connect{{instance-id}}/federar/).
**nota**
Certifique-se de que o STS não esteja desabilitado em regiões adicionais.
Certifique-se de que nenhum SCP esteja impedindo ações de STS em regiões adicionais.
## Use um destino em seu URL de estado de retransmissão
Ao configurar o estado de retransmissão do seu provedor de identidade, você pode usar o argumento de destino na URL para direcionar os usuários até uma página específica na sua instância do Connect Customer. Por exemplo, use um link para abrir a CCP diretamente quando um atendente fizer login. O usuário deve receber um perfil de segurança que conceda acesso a essa página na instância. Por exemplo, para enviar atendentes à CCP, use um URL semelhante ao mencionado abaixo para o estado de retransmissão. Você deve usar a [codificação de URL](https://en.wikipedia.org/wiki/Percent-encoding) para o valor de destino usado na URL:
+ `https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true`
Outro exemplo de URL válido é:
+ `https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fagent-app-v2`
GovCloud Por exemplo, o URL é **https://console.amazonaws-us-gov.com/**. Então, o endereço seria:
+ `https://console.amazonaws-us-gov.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true`
Se você quiser configurar o argumento de destino para um URL fora da instância do Connect Customer, como seu próprio site personalizado, primeiro adicione esse domínio externo às origens aprovadas da conta. Por exemplo, realize as etapas nesta ordem:
1. No console Connect Customer, adicione https://{{your-custom-website}}.com às suas origens aprovadas. Para instruções, consulte [Use uma lista de permissões para aplicativos integrados no Connect Customer](app-integration.md).
1. No provedor de identidade, configure o estado de retransmissão para ` https://{{your-region}}.console.aws.amazon.com/connect/federate/instance-id?destination=https%3A%2F%2F{{your-custom-website.com}}`
1. Quando seus agentes fazem login, eles são direcionados diretamente para https://{{your-custom-website}}.com.
## Adicione usuários à sua instância do Connect Customer
Adicione usuários à instância na qual você se conecta, garantindo que os nomes de usuário correspondam exatamente aos nomes de usuários do diretório existente. Se os nomes não corresponderem, os usuários poderão fazer login no provedor de identidade, mas não no Connect Customer, pois não existe nenhuma conta de usuário com esse nome de usuário no Connect Customer. Você pode adicionar usuários manualmente na página **User management (Gerenciamento de usuários)** ou pode fazer upload de usuários em massa com o modelo CSV. Depois de adicionar os usuários ao Connect Customer, você pode atribuir perfis de segurança e outras configurações de usuário.
Quando um usuário faz login no provedor de identidade, mas nenhuma conta com o mesmo nome de usuário é encontrada no Connect Customer, a seguinte mensagem de **Acesso negado** é exibida.
**Fazer upload em massa de usuários com o modelo**
Você pode importar os usuários adicionando-os a um arquivo CSV. Em seguida, você pode importar o arquivo CSV para a sua instância, que adicionará todos os usuários ao arquivo. Se você adicionar usuários carregando um arquivo CSV, certifique-se de usar o modelo para usuários do SAML. Você pode encontrar na página de **gerenciamento de usuários** no Connect Customer. Um modelo diferente é usado para SAML-based autenticação. Se você baixou o modelo anteriormente, você deve baixar a versão disponível na página **de gerenciamento de usuários** depois de configurar sua instância com SAML-based autenticação. O modelo não deve incluir uma coluna para e-mail ou senha.
## Login de usuário e duração de sessão do SAML
Quando você usa o SAML no Connect Customer, os usuários devem fazer login no Connect Customer por meio do seu provedor de identidade (IdP). Seu IdP está configurado para integração com o. AWS Após a autenticação, um token de sessão é criado. Em seguida, o usuário é redirecionado para sua instância do Connect Customer e automaticamente conectado ao Connect Customer usando o login único.
Como prática recomendada, você também deve definir um processo para que os usuários do Connect Customer saiam quando terminarem de usar o Connect Customer. Eles devem sair do Connect Customer e do seu provedor de identidade. Caso contrário, a próxima pessoa que fizer login no mesmo computador poderá fazer login no Connect Customer sem uma senha, pois o token das sessões anteriores ainda é válido durante a sessão. É válido por 12 horas.
**Sobre a expiração da sessão**
As sessões do Connect Customer expiram 12 horas após o login do usuário. Após 12 horas, os usuários são automaticamente desconectados, mesmo que eles estejam atualmente em uma chamada. Se os atendentes permanecerem conectados por mais de 12 horas, eles precisarão atualizar o token da sessão antes que ele expire. Para criar uma nova sessão, os agentes precisam sair do Connect Customer e do seu IdP e, em seguida, fazer login novamente. Isso redefine o temporizador definido no token de sessão para que os atendentes não sejam desconectados durante um contato com um cliente. Quando uma sessão expira enquanto um usuário está conectado, a seguinte mensagem é exibida. Para usar o Connect Customer novamente, o usuário precisa fazer login no seu provedor de identidade.
**nota**
Se vir a mensagem **Sessão expirada** ao fazer login, provavelmente você só precisará atualizar o token da sessão. Vá até o provedor de identidade e faça login. Atualize a página Connect Customer. Se você continuar recebendo essa mensagem, entre em contato com a equipe de TI.