View a markdown version of this page

將您的身分提供者 (IdP) 與 Connect Customer Global Resiliency SAML 登入端點整合 - Amazon Connect 客戶
開始之前重要須知事項如何整合您的身分提供者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將您的身分提供者 (IdP) 與 Connect Customer Global Resiliency SAML 登入端點整合

若要讓您的客服人員登入一次,並登入兩個 AWS 區域以處理目前作用中區域的聯絡人,您需要設定 IAM 設定以使用 SAML 端點中的全域登入。

開始之前

您必須為 Connect Customer 執行個體啟用 SAML,才能使用 Connect Customer Global Resiliency。如需有關使用 IAM 聯合的入門資訊,請參閱啟用 SAML 2.0 聯合身分使用者存取 AWS 管理主控台

須知事項

  • 只有在使用全域登入端點時,才支援代理程式容錯移轉。

  • 若要執行本主題中的步驟,需要您的執行個體 ID。如需有關如何尋找的說明,請參閱 尋找您的 Connect Customer 執行個體 ID 或 ARN

  • 您也需要知道 Connect Customer 執行個體的來源區域。如需有關如何尋找的說明,請參閱 如何尋找 Connect Customer 執行個體的來源區域

  • 如果您要在 iframe 中嵌入 Connect 應用程式,請確保您的網域同時列在來源和複本執行個體的核准來源清單中,以使全域登入正常運作。

    若要在執行個體層級設定核准來源,請遵循 在 Connect Customer 中使用整合式應用程式的允許清單 中的步驟。

  • 代理程式必須已在來源和複本 Connect Customer 執行個體中建立,並且具有與身分提供者 (IdP) 的角色工作階段名稱相同的使用者名稱。否則,您會收到 UserNotOnboardedException 例外狀況,且可能會失去執行個體之間的客服人員備援功能。

  • 在客服人員嘗試登入之前,您必須先將客服人員與流量分佈群組建立關聯。否則,客服人員將登入失敗,並顯示 ResourceNotFoundException。如需有關如何設定流量分佈群組並將客服人員與其關聯的相關資訊,請參閱 將客服人員與跨多個 AWS 區域的客戶執行個體建立關聯

  • 當您的代理程式使用新的 SAML 登入 URL 聯合到 Connect Customer 時,無論流量分佈群組中SignInConfig如何設定,Connect Customer Global Resiliency 一律會嘗試將代理程式登入您的來源和複本區域/執行個體。您可以通過檢查 CloudTrail 日誌來驗證。

  • 預設流量SignInConfig分佈群組中的分佈只會決定 AWS 區域 哪些 用於協助登入。無論您的SignInConfig分佈如何設定,Connect Customer 一律會嘗試將客服人員登入 Connect Customer 執行個體的兩個區域。

  • 複寫 Connect Customer 執行個體之後,只會為您的執行個體產生一個 SAML 登入端點。此端點一律包含 URL AWS 區域 中的來源。

  • 使用個人化 SAML 登入 URL 搭配 Connect Customer Global Resiliency 時,您不需要設定轉送狀態。

如何整合您的身分提供者

  1. 當您使用 ReplicateInstance API 建立 Connect Customer 執行個體的複本時,會為您的 Connect Customer 執行個體產生個人化的 SAML 登入 URL。產生的 URL 格式如下:

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. 執行個體 ID 是執行個體群組中任一執行個體的執行個體 ID。來源區域和複本區域中的執行個體 ID 相同。

    2. source-region 對應至呼叫 ReplicateInstance API 的來源 AWS 區域。

  2. 將下列信任政策新增至您的 IAM 聯合角色。使用全域登入 SAML 端點的 URL,如下列範例所示。

    JSON
    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
              "arn:aws:iam::111122223333:saml-provider/MySAMLProvider"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    注意

    saml-provider-arn 是 IAM 中建立的身分提供者資源。

  3. 在 IAM 聯合角色中授予 InstanceIdconnect:GetFederationToken 的存取權。例如:

    JSON
    {
"Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. 使用下列屬性和值字串,將屬性映射新增至您的身分提供者應用程式。

    屬性 Value

    https://aws.amazon.com/SAML/Attributes/Role

    saml-role-arnidentity-provider-arn

  5. 設定身分提供者的聲明消費者服務 (ACS) URL,以指向您的個人化 SAML 登入 URL。將下列範例用於 ACS URL:

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. 在 URL 參數中設定下列欄位:

    • instanceId:Connect Customer 執行個體的識別符。如需有關如何尋找執行個體 ID 的說明,請參閱 尋找您的 Connect Customer 執行個體 ID 或 ARN

    • accountId:Connect Customer 執行個體所在的 AWS 帳戶 ID。

    • role:將 設定為用於 Connect Customer 聯合的 SAML 角色的名稱或 Amazon Resource Name (ARN)。

    • idp:設定 IAM 中 SAML 身分提供者的名稱或 Amazon Resource Name (ARN)。

    • destination:設定為客服人員在登入後登陸執行個體的可選路徑 (例如:/agent-app-v2)。