將您的身分提供者 (IdP) 與 Amazon Connect 全球備援 SAML 登入端點整合。 - Amazon Connect
開始之前須知事項如何整合您的身分提供者

將您的身分提供者 (IdP) 與 Amazon Connect 全球備援 SAML 登入端點整合。

若要讓您的客服人員一次性登入,並且登入兩個 AWS 區域以處理來自目前作用中區域的聯絡,您需要設定 IAM 設定以使用 SAML 端點中的全域登入。

開始之前

您必須為您的 Amazon Connect 執行個體啟用 SAML,才能使用 Amazon Connect 全球恢復能力。如需有關使用 IAM 聯合的入門資訊,請參閱啟用 SAML 2.0 聯合身分使用者存取 AWS 管理主控台

須知事項

  • 若要執行本主題中的步驟,需要您的執行個體 ID。如需有關如何尋找的說明,請參閱 尋找您的 Amazon Connect 執行個體 ID 或 ARN

  • 您還需要知道 Amazon Connect 執行個體的來源區域。如需有關如何尋找的說明,請參閱 如何找到您的 Amazon Connect 執行個體來源區域

  • 如果您要在 iframe 中嵌入 Connect 應用程式,請確保您的網域同時列在來源和複本執行個體的核准來源清單中,以使全域登入正常運作。

    若要在執行個體層級設定核准來源,請遵循 在 Amazon Connect 中使用整合式應用程式的允許清單 中的步驟。

  • 必須已在來源和複本兩者 Amazon Connect 執行個體中建立客服人員,且使用者名稱與身分提供者 (IdP) 的角色工作階段名稱相同。否則,您會收到 UserNotOnboardedException 例外狀況,且可能會失去執行個體之間的客服人員備援功能。

  • 在客服人員嘗試登入之前,您必須先將客服人員與流量分佈群組建立關聯。否則,客服人員將登入失敗,並顯示 ResourceNotFoundException。如需有關如何設定流量分佈群組並將客服人員與其關聯的相關資訊,請參閱 將客服人員與多個 AWS 區域的 Amazon Connect 執行個體建立關聯

  • 當您的客服人員使用新的 SAML 登入 URL 聯合登入 Amazon Connect 時,無論流量分佈群組中的 SignInConfig 如何設定,Amazon Connect 全球恢復能力都會嘗試將客服人員登入您的來源和複本區域/執行個體。您可以通過檢查 CloudTrail 日誌來驗證。

  • 預設流量分佈群組中的 SignInConfig 分佈只會決定用哪一個 AWS 區域 來協助登入。無論您的 SignInConfig 分佈設定方式為何,Amazon Connect 一律會嘗試將客服人員登入 Amazon Connect 執行個體的兩個區域。

  • 複寫 Amazon Connect 執行個體後,只會為您的執行個體產生一個 SAML 登入端點。此端點永遠包含 URL 中的 AWS 區域 來源。

  • 將個人化 SAML 登入 URL 與 Amazon Connect 全球恢復能力搭配使用時,您不需要設定轉送狀態。

如何整合您的身分提供者

  1. 當您使用 ReplicateInstance API 建立 Amazon Connect 執行個體的複本時,系統會為您的 Amazon Connect 執行個體產生個人化的 SAML 登入 URL。產生的 URL 格式如下:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. 執行個體 ID 是執行個體群組中任一執行個體的執行個體 ID。來源區域和複本區域中的執行個體 ID 相同。

    2. 來源區域對應呼叫 ReplicateInstance API 的來源 AWS 區域。

  2. 將下列信任政策新增至您的 IAM 聯合角色。使用全域登入 SAML 端點的 URL,如下列範例所示。

    JSON
    {
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
              "arn:aws:iam::111122223333:saml-provider/MySAMLProvider"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    注意

    saml-provider-arn 是 IAM 中建立的身分提供者資源。

  3. 在 IAM 聯合角色中授予 InstanceIdconnect:GetFederationToken 的存取權。例如:

    JSON
    {
"Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. 使用下列屬性和值字串,將屬性映射新增至您的身分提供者應用程式。

    屬性

    https://aws.amazon.com/SAML/Attributes/Role

    saml-role-arnidentity-provider-arn

  5. 設定身分提供者的聲明消費者服務 (ACS) URL,以指向您的個人化 SAML 登入 URL。將下列範例用於 ACS URL:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. 在 URL 參數中設定下列欄位:

    • instanceId:您 Amazon Connect 執行個體的識別符。如需有關如何尋找執行個體 ID 的說明,請參閱 尋找您的 Amazon Connect 執行個體 ID 或 ARN

    • accountId:Amazon Connect 執行個體所在的 AWS 帳戶 ID。

    • role:設定用於 Amazon Connect 聯合的 SAML 角色名稱或 Amazon Resource Name (ARN)。

    • idp:設定 IAM 中 SAML 身分提供者的名稱或 Amazon Resource Name (ARN)。

    • destination:設定為客服人員在登入後登陸執行個體的可選路徑 (例如:/agent-app-v2)。