Ce guide AWS décrit comment configurer l’authentification unique Amazon Connect avec Azure AD comme fournisseur d’identité.

Nous recommandons d’utiliser les politiques de contrôle des services (SCP) pour gérer les autorisations concernant les actions que les utilisateurs et les rôles peuvent effectuer dans Amazon Connect, afin de protéger les ressources importantes et de renforcer la sécurité de votre système.

Lecture recommandée : Meilleures pratiques de sécurité pour Amazon Connect

Voici un exemple de SCP permettant d’empêcher la suppression de l’instance Amazon Connect et du rôle associé :

<pre><code class="language-json">
&lt;pre&gt;&lt;code class=&quot;language-json&quot;&gt;
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/***Amazon Connect user role***"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"
      ],
      "Resource": [
        "***Amazon Connect instance ARN***"
      ]
    }
  ]
}
&lt;/pre&gt;&lt;/code&gt;
</pre></code>

L’authentification unique (SSO) pour le Centre de contact est mise en œuvre en configurant le groupe d’utilisateurs Cognito pour utiliser une application SAML pour la connexion. Le groupe d’utilisateurs Cognito est celui qui a été créé par le modèle CloudFormation du Centre de contact.

Voici un résumé du processus général à suivre :

1. Rassemblez les informations requises sur le groupe d’utilisateurs Cognito.
2. Créez l’application SAML dans le portail Azure AD.
3. Configurez un fournisseur d’identité dans le groupe d’utilisateurs Cognito.
4. Indiquez ce fournisseur d’identité à utiliser pour l’authentification des agents.

Pour configurer le SSO pour le Centre de contact

Rassemblez les informations requises sur le groupe d’utilisateurs Cognito

1. Connectez-vous au compte AWS dans lequel la pile CloudFormation du Centre de contact a été créée. Accédez au service Cognito (assurez-vous d’être dans la bonne région) et ouvrez le groupe d’utilisateurs qui a été créé lors de la création de la pile CloudFormation du Centre de contact. Notez l’ID du groupe d’utilisateurs comme indiqué dans l’image suivante :

   

2. Cliquez sur l’onglet Intégration d’application et notez le préfixe de domaine Cognito. C’est la première partie du domaine Cognito, avant le « .auth.regionxxx ». C’est également la valeur qui a été spécifiée dans le modèle CloudFormation et peut donc être copiée depuis l’onglet des paramètres CloudFormation si vous préférez.

Pour créer l’application SAML dans le portail Azure AD

1. Connectez-vous au portail Azure et, dans la section Services Azure, choisissez Azure Active Directory.
2. Dans la barre latérale gauche, choisissez Applications d’entreprise.
3. Cliquez sur Nouvelle application, puis sur Créer votre propre application. Remplissez les champs suivants :
   • Nom de l’entrée : donnez un nom à votre application, par exemple « Production Zendesk pour le Centre de contact ». Sélectionnez « Intégrer toute autre application que vous ne trouvez pas dans la galerie (autre que la galerie) ». Cliquez sur Créer.

     

     La création de l’application dans Azure AD prendra quelques secondes, puis vous serez redirigé vers la page de présentation de l’application nouvellement ajoutée.

Pour configurer l’authentification unique via SAML

1. Sur la page de démarrage, dans la vignette Configurer l’authentification unique, cliquez sur Commencer.

   

2. Sur l’écran suivant, sélectionnez SAML.
3. Dans le volet central, sous Configurer l’authentification unique avec SAML, dans la section Configuration SAML de base cliquez sur l’icône de modification.
4. Accédez au volet central sous Configurer l’authentification unique avec SAML
5. Dans la section Attributs utilisateur et revendications, cliquez sur Modifier.
6. Entrez les valeurs de champ suivantes :
   • Identificateur (ID d’entité) : urn:amazon:cognito:sp:${pool ID}
   • URL de réponse (URL de service consommateur d’assertion) : https://${DomainPrefix}.auth.${RegionID}.amazoncognito.com/saml2/idpreponse
   • [.callout-primary--alert-message]

   Remplacez les balises ci-dessus par les valeurs copiées depuis le groupe d’utilisateurs Cognito. [.callout-primary--alert-message]

   

7. Cliquez sur Ajouter une revendication de groupe.
8. Sur la page Attributs utilisateur et revendications, dans le volet de droite sous Revendications de groupe, sélectionnez Groupes affectés à l’application. Laissez l’attribut Source sur Group ID, comme indiqué dans la capture d’écran ci-dessous.

   

9. Cliquez sur Enregistrer.
10. Fermez la page Attributs utilisateur et revendications. Vous serez redirigé vers la page Configurer l’authentification unique avec SAML.
11. Faites défiler la page jusqu’à la section Certificat de signature SAML et copiez l’URL de métadonnées de fédération de l’application en choisissant l’icône copier dans le presse-papiers. Gardez cette URL à portée de main car vous en aurez besoin à l’étape suivante.

    

Pour configurer un fournisseur d’identité dans le groupe d’utilisateurs Cognito

1. Connectez-vous au compte AWS qui contient le groupe d’utilisateurs Cognito.
2. Accédez à Cognito et ouvrez le groupe d’utilisateurs.
3. Sélectionnez l’onglet Expérience de connexion, puis cliquez sur Ajouter un fournisseur d’identité.

   

4. Sur la page suivante, sélectionnez SAML.
5. Sous Configurer la fédération SAML avec ce groupe d’utilisateurs, configurez les éléments suivants :
   • Nom du fournisseur : saisissez un nom pour ce fournisseur d’identité. Il est recommandé de ne pas utiliser d’espaces dans le nom.
   • Source du document de métadonnées : collez l’URL de métadonnées, issue de l’étape précédente, dans le champ URL du point de terminaison des métadonnées.
6. Sous Mapper les attributs entre votre fournisseur SAML et votre groupe d’utilisateurs, définissez l’attribut suivant :

   Attribut du groupe d’utilisateurs	Attribut SAML
   adresse e-mail	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

7. Cliquez sur Ajouter un fournisseur d’identité.

   À ce stade, le fournisseur d’identité requis a été créé. La dernière étape de la configuration Cognito consiste à indiquer que le client de l’application utilisera ce fournisseur d’identité pour l’authentification des agents.

Pour spécifier le fournisseur d’identité à utiliser pour l’authentification des agents

1. Sélectionnez Intégration d’application dans l’onglet, faites défiler jusqu’en bas et cliquez sur app-client pour l’ouvrir.
2. Faites défiler jusqu’à la section Interface hébergée et cliquez sur Modifier.

   

3. Sous Pages d’inscription et de connexion hébergées, faites défiler jusqu’à la liste déroulante Fournisseurs d’identité. Sélectionnez le fournisseur d’identité configuré à l’étape précédente.
4. Cliquez sur Enregistrer les modifications.
5. Zendesk requiert le nom de l’IDP (tel que configuré sous Expérience de connexion) pour finaliser la configuration de votre compte. Incluez ceci ainsi que les sorties CloudFormation dans les informations que vous partagez avec Zendesk.