本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Amazon Connect 中設定 IP 位址限制和工作階段逾時
<a name="authentication-profiles"></a>

**注意**  
這項功能目前為預覽版本，並可能會有所變更。若要存取此功能，請聯絡您的 Amazon Connect 解決方案架構師、技術客戶經理或 支援。

若要進一步鎖定您的聯絡中心 (例如，為符合業界需求和法規)，您可以設定 IP 位址限制和工作階段逾時。
+ IP 位址限制會要求客服人員只能從您的 VPN 登入，或封鎖來自特定國家/地區或子網路的存取。
+ 工作階段逾時會要求客服人員再次登入 Amazon Connect。

在 Amazon Connect 中，您可以設定*身分驗證設定檔*，以設定登入客服人員的 IP 位址限制和工作階段持續時間。身分驗證設定檔是一種資源，可存放聯絡中心內使用者的身分驗證設定。

## 身分驗證設定檔入門
<a name="get-started-auth-profiles"></a>

您的 Amazon Connect 執行個體包含預設身分驗證設定檔。根據預設，此身分驗證設定檔適用於聯絡中心中的所有**使用者**，不需要指派。

目前只能使用 AWS SDK 設定身分驗證設定檔。若要設定您的預設身分驗證設定檔，請使用下列命令。

**提示**  
您需要 Amazon Connect 執行個體 ID 才能執行這些命令。如需有關如何尋找執行個體 ID 的說明，請參閱 [尋找您的 Amazon Connect 執行個體 ID 或 ARN](find-instance-arn.md)。

1. 列出執行個體中的身分驗證設定檔，以取得您要更新的身分驗證設定檔的 ID。您可以呼叫 [ListAuthenticationProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListAuthenticationProfile.html) API 或執行 CLI `list-authentication-profiles` 命令。

   下列是 `list-authentication-profiles` 命令範例。

   ```
   aws connect list-authentication-profiles --instance-id your-instance-id
   ```

   以下範例是 `list-authentication-profiles` 命令傳回的預設身分驗證設定檔。

   ```
   {
       "AuthenticationProfileSummaryList": [
           {
           "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
           "Id": "profile-id",
           "IsDefault": true,
           "LastModifiedRegion": "us-west-2",
           "LastModifiedTime": 1.719249173664E9,
           "Name": "Default Authentication Profile"
           }
       ],
       "NextToken": null
   }
   ```

1. 檢視您要更新的身分驗證設定檔組態。您可以呼叫 [DescribeAuthenticationProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_DescribeAuthenticationProfile.html) 或執行 `describe-authentication-profile` CLI 命令。

   下列是 `describe-authentication-profile` 命令範例。

   ```
   aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id
   ```

   以下範例是 `describe-authentication-profile` 命令會傳回的資訊。

   ```
   {
       "AuthenticationProfile": {
       "AllowedIps": [],
       "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
       "BlockedIps": [],
       "CreatedTime": 1.718999177811E9,
       "Description": "A basic default Authentication Profile",
       "Id": "profile-id",
       "IsDefault": true,
       "LastModifiedRegion": "us-west-2",
       "LastModifiedTime": 1.719249173664E9,
       "MaxSessionDuration": 720,
       "Name": "Default Authentication Profile",
       "PeriodicSessionDuration": 60,
       "SessionInactivityDuration": 60,
       "SessionInactivityHandlingEnabled": false
       }
   }
   ```

   如需每個欄位的說明，請參閱《Amazon Connect API 參考》**中的 [AuthenticationProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_AuthenticationProfile.html)。

1. 使用 [UpdateAuthenticationProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateAuthenticationProfile.html) API 或 CLI `update-authentication-profile` 命令來設定身分驗證設定檔。除 `InstanceId` 和 `ProfileId` 以外的所有欄位都是選用的。系統只會變更您在 API 呼叫中定義的設定。

   下列是 `update-authentication-profile` 命令範例。該命令會設定自動指派給所有使用者的預設身分驗證設定檔。它允許某些 IP 地址、封鎖其他 IP 地址、在使用者閒置時啟用自動登出，並將[工作階段閒置持續時間](#configure-session-timeouts)設定為 60 分鐘。

   ```
   aws connect update-authentication-profile 
       --instance-id your-instance-id 
       --profile-id profile-id
       --name "Default Authentication Profile"
       --description "A basic default Authentication Profile"
       --allowed-ips "ip-range-1" "ip-range-2" ...
       --blocked-ips "ip-range-3" "ip-range-4" ...
       --session-inactivity-handling-enabled
       --session-inactivity-duration 60
   ```

## 設定 IP 型存取控制
<a name="configure-ip-based-ac"></a>

如果您要根據 IP 位址設定聯絡中心的存取權，您可以使用身分驗證設定檔的 IP 型存取控制功能。

您可以在身分驗證設定檔中設定兩種 IP 組態類型：允許的 IP 位址範圍和封鎖的 IP 位址範圍。以下說明 IP 型存取控制的運作方式。
+ IP 位址可以是 IPV4 *和* IPV6 格式。
+ 您可以在 CIDR 表示法中定義個別 IP 位址*和* IP 位址範圍。
+ 封鎖的 IP 組態一律優先。
+ 如果在允許的 IP 清單中定義 IP 位址，則*僅會允許*這些 IP 位址。
  + 您可以透過封鎖 IP 清單，縮小這些 IP 位址的範圍。
+ 如果只定義封鎖的 IP 位址，則*除*封鎖清單中定義的 IP 位址外，任何 IP 位址都可以存取執行個體。
+ 如果在允許和封鎖的 IP 位址清單中都有定義 IP 位址，則*只*允許在允許範圍內定義的 IP 位址，*排除*封鎖範圍內的任何 IP 位址。

**注意**  
IP 位址型存取控制不適用於[緊急管理員登入](emergency-admin-login.md)。若要對此使用者套用限制，您可以在 API `connect:AdminGetEmergencyAccessToken` 的 [IAM 政策中套用 `SourceIp` 限制](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html)。

執行個體判斷封鎖使用者的 IP 位址時，使用者的工作階段會失效。登出事件會發布在[登入/登出報告](login-logout-reports.md)。

### 使用者在 IP 位址檢查失敗時，會遇到什麼情況
<a name="ccp-ip"></a>

**客服人員**

客服人員在聯絡人控制台 (CCP) 處於作用中狀態時，系統會定期檢查其 IP 位址。

以下是 IP 位址未通過檢查時會發生的情況：
+ 如果客服人員未進行通話，且其 IP 位址變更為不允許的位址，則系統會將其登出。
+ 如果客服人員正在進行作用中通話，則客服人員的工作階段會失效。不過，這不會結束目前作用中的通話。將發生以下情況：

  1. 客服人員將無法採取任何動作，例如變更客服人員狀態、轉接通話、保留通話、結束通話或建立案例。

  1. 客服人員會收到通知，告知他們在 CCP 中的動作執行受到限制。

  1. 如果他們在工作階段失效後成功登入，則系統會將其帶回作用中的通話，並能再次執行動作。

**使用管理員網站的 Amazon Connect 管理員和使用者**

若管理員和其他使用者在 Amazon Connect 管理員網站上執行動作 (例如儲存資源更新或插入作用中的通話) 時，未通過 IP 位址檢查，系統會自動將其登出。

## IP 位址組態範例
<a name="example-ip-addresses"></a>

### 範例 1：只在允許 IP 清單中定義的 IP 位址
<a name="example-ip1"></a>
+ AllowedIps: [ `111.222.0.0/16` ]
+ BlockedIps: [ ]

結果：
+ 僅允許 `111.222.0.0` 和 `111.222.255.255` 之間的 IP 位址存取執行個體。

### 範例 2：只在封鎖 IP 清單中定義的 IP 位址
<a name="example-ip2"></a>
+ AllowedIps: [ ]
+ BlockedIps: [`155.155.155.0/24` ]

結果：
+ 允許所有 IP 位址，但包含 `155.155.155.0 - 155.155.155.255` 的 IP 位址範圍*除外*。

### 範例 3：在允許 IP 清單和封鎖 IP 清單中定義的 IP 地址
<a name="example-ip3"></a>
+ AllowedIps: [` 200.255.0.0/16` ]
+ BlockedIps: [`200.255.10.0/24, 200.255.40.50, 192.123.211.211` ]

結果：
+ 允許 `200.255.0.0 - 200.255.255.255` 之間的 IP 位址，但排除 `(200.255.10.0 - 200.255.10.255 AND 200.255.40.50)`。
+ 實際上允許 `200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255`。
+ 實際上忽略 `192.123.211.211`，因為它不在允許範圍內。

### 範例 4：未在允許 IP 清單或封鎖 IP 清單中定義的 IP 位址
<a name="example-ip4"></a>
+ AllowedIps: [ ]
+ BlockedIps: [ ]

在此情況下，則沒有限制。

**重要**  
*只有*在其非空白時，`allowedIps` 清單才會定義聯絡中心允許的可能 IP 範圍。如果為空白，則允許*任何* IP 位址存取您的聯絡中心，除非 `blockedIps` 清單明確封鎖。

## 設定使用者工作階段逾時
<a name="configure-session-timeouts"></a>

Amazon Connect 工作階段定義為對聯絡中心網站進行身分驗證存取的持續期間。聯絡中心的使用者工作階段會套用兩個工作階段逾時：
+ **工作階段持續時間上限**：此值代表聯絡中心使用者在被強制重新登入之前可以登入的最長期間。此值預設為 12 小時，無法設定。
+ **工作階段閒置持續時間：**：此值代表客服人員處於非作用中狀態時自動登出聯絡中心之前的期間。

根據預設，Amazon Connect 執行個體中的使用者會保持登入狀態，直到經過 12 小時的工作階段持續時間上限為止，不會因閒置而自動登出。不過，具有更嚴格安全性和合規要求的組織可以利用身分驗證設定檔，在使用者變成非作用中時啟用自動登出。啟用後，此功能會監控使用者活動模式，並在設定的工作階段閒置持續時間過後自動結束工作階段。

在執行下列任何動作時，聯絡中心使用者會被視為作用中：
+ 聯絡控制面板 (CCP)、客服人員工作區或管理員網站上的滑鼠和鍵盤活動
+ 作用中語音聯絡的存在

如果使用者被判定為非作用中，畫面上會出現快顯，警告使用者他們的工作階段即將因非作用中而過期。使用者可以選擇保持登入或登出。

若要選擇在使用者閒置時自動登出，請使用 Amazon Connect SDK 在執行個體中的身分驗證設定檔上執行下列 API 呼叫。

```
aws connect update-authentication-profile 
    --instance-id <your-instance-id> 
    --profile-id <profile-id>
    --session-inactivity-handling-enabled
    --session-inactivity-duration <minutes between 15 and 720>
```

**注意**  
將聯絡中心與第三方廠商 （例如 Salesforce Service Cloud Voice (SCV)) 整合的客戶應參閱廠商文件，以判斷是否支援此功能，然後再啟用閒置的自動登出。

**注意**  
利用 AmazonConnectStreams 或 AmazonConnectSDK 將現有 Web 應用程式與 Amazon Connect 整合的客戶，在啟用使用者閒置自動登出之前，必須實作活動處理作為整合的一部分。如需詳細資訊，請參閱 AmazonConnectStreams 或 AmazonConnectSDK 文件。

**注意**  
在[具有分割 CCP 模型的虛擬桌面基礎設施 (VDI)](using-ccp-vdi.md#use-split-ccp) 中使用 Amazon Connect 時，不支援在使用者閒置時自動登出。