View a markdown version of this page

将您的身份提供商 (IdP) 与 Connect 客户全球弹性 SAML 登录端点集成 - Amazon Connect Customer
开始前的准备工作需要了解的重要事项如何集成身份提供者

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将您的身份提供商 (IdP) 与 Connect 客户全球弹性 SAML 登录端点集成

要使您的代理能够登录一次并登录到两个 AWS 区域以处理来自当前活动区域的联系人,您需要将 IAM 设置配置为使用全局登录 SAML 终端节点。

开始前的准备工作

您必须为 Connect 客户实例启用 SAML 才能使用 Connect 客户全球弹性。有关 IAM 联合身份验证入门的信息,请参阅使 SAML 2.0 联合身份用户能够访问 AWS 管理控制台

需要了解的重要事项

  • 仅在使用全局登录端点时才支持代理故障转移。

  • 要执行本主题中的步骤,您需要使用您的实例 ID。有关其查找方法的说明,请参阅找到你的 Connect 客户实例 ID 或 ARN

  • 您还需要知道 Connect 客户实例的来源区域。有关其查找方法的说明,请参阅如何查找 Connect 客户实例的来源区域

  • 如果您要在内嵌框架中嵌入 Connect 应用程序,则必须确保您的域出现在源实例和副本实例的 Approved Origins 列表中,这样才能正常运行全局登录。

    要在实例级别配置 Approved Origins,请按照 在 Connect Customer 中使用集成应用程序的许可名单 中的步骤操作。

  • 代理必须已在源实例和副本 Connect Customer 实例中创建,并且用户名必须与身份提供商 (IdP) 提供的角色会话名称相同。否则,您将收到 UserNotOnboardedException 异常,并有失去实例之间的座席冗余功能的风险。

  • 在座席尝试登录之前,您必须将座席与流量分配组相关联。否则,座席登录将失败,并显示 ResourceNotFoundException。有关如何设置您的流量分配组以及如何将座席与其关联的信息,请参阅将代理关联到 Connect 多个客户实例 AWS Regions

  • 当您的代理使用新的 SAML 登录 URL 联合到 Connect C SignInConfig ustomer 时,Connect Customer Global Resiliency 将始终尝试将代理登录到您的源区域和副本区域/实例,无论您的流量分配组中如何配置。您可以通过检查 CloudTrail 日志来验证这一点。

  • 默认流量通讯组中的SignInConfig分布仅决定 AWS 区域 哪个用于帮助登录。无论您的SignInConfig分配是如何配置的,Connect Customer 都会尝试将代理登录到您的 Connect 客户实例的两个区域。

  • 复制 Connect Customer 实例后,只会为您的实例生成一个 SAML 登录终端节点。此端点的 URL AWS 区域 中始终包含来源。

  • 在 Connect Customer Global Selisiency 中使用个性化 SAML 登录网址时,您无需配置中继状态。

如何集成身份提供者

  1. 当您使用 ReplicateInstanceAPI 创建 Connect 客户实例的副本时,系统会为您的 Connect 客户实例生成一个个性化的 SAML 登录网址。生成的 URL 采用以下格式:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-id是您的实例组中任一实例的实例 ID。源区域和副本区域中的实例 ID 相同。

    2. source-region对应于调ReplicateInstance用 API 的源 AWS 区域。

  2. 将以下信任策略添加到您的 IAM 联合身份验证角色中。使用全局登录 SAML 端点的 URL,如以下示例中所示。

    JSON
    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
              "arn:aws:iam::111122223333:saml-provider/MySAMLProvider"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    注意

    saml-provider-arn 是在 IAM 中创建的身份提供者资源。

  3. 为您的 IAM 联合身份验证角色上的 InstanceId 授予对 connect:GetFederationToken 的访问权限。例如:

    JSON
    {
"Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. 使用以下属性和值字符串向您的身份提供者应用程序添加属性映射。

    属性

    https://aws.amazon.com/SAML/Attributes/Role

    saml-role-arn,identity-provider-arn

  5. 将身份提供者的断言消费者服务 (ACS) URL 配置为指向您的个性化 SAML 登录 URL。对 ACS URL 使用以下示例:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. 在 URL 参数中设置以下字段:

    • instanceId:您的 Connect 客户实例的标识符。有关如何查找实例 ID 的说明,请参阅找到你的 Connect 客户实例 ID 或 ARN

    • accountId:Connect 客户实例所在的 AWS 账户 ID。

    • role:设置为用于 Connect 联合客户的 SAML 角色的名称或亚马逊资源名称 (ARN)。

    • idp:设置为 IAM 中 SAML 身份提供商的名称或 Amazon 资源名称 (ARN)。

    • destination:设置为座席在登录后将在其中登录实例的可选路径(例如:/agent-app-v2)。