Questa guida AWS descrive come configurare Amazon Connect SSO con Azure AD come provider di identità.

Ti consigliamo di usare le policy di controllo dei servizi (SCP) per gestire le autorizzazioni relative a ciò che utenti e ruoli possono fare in Amazon Connect, proteggere risorse importanti e rendere più sicuro il tuo sistema.

Letture consigliate: Best practice di sicurezza per Amazon Connect

Di seguito è riportato un esempio di SCP che può essere usato per impedire l’eliminazione dell’istanza Amazon Connect e del ruolo associato:

<pre><code class="language-json">
&lt;pre&gt;&lt;code class=&quot;language-json&quot;&gt;
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/***Amazon Connect user role***"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"
      ],
      "Resource": [
        "***Amazon Connect instance ARN***"
      ]
    }
  ]
}
&lt;/pre&gt;&lt;/code&gt;
</pre></code>

Single Sign-On (SSO) per Contact Center viene implementato configurando il pool di utenti Cognito per l’uso di un’applicazione SAML per l’accesso. Il pool di utenti Cognito è quello creato dal modello Contact Center CloudFormation.

Di seguito viene riepilogato il processo di alto livello da seguire:

1. Raccogli i dettagli del pool di utenti Cognito richiesti.
2. Crea l’applicazione SAML nel portale di Azure AD.
3. Configura un provider di identità nel pool di utenti Cognito.
4. Specifica questo provider di identità da usare per l’autenticazione agente.

Per configurare SSO per Contact Center

Raccogli i dettagli del pool di utenti Cognito richiesti

1. Accedi all’account AWS in cui è stato creato lo stack Contact Center CloudFormation. Vai al servizio Cognito (assicurati di trovarti nell’area geografica corretta) e apri il pool di utenti creato quando è stato creato lo stack Contact Center CloudFormation. Prendi nota dell’ID pool di utenti come mostrato nell’immagine seguente:

   

2. Fai clic sulla scheda Integrazione app e prendi nota del prefisso di dominio Cognito. Questa è la prima parte del dominio Cognito, prima di “.auth.regionxxx”. Questo è anche il valore specificato nel modello CloudFormation, quindi può essere copiato dalla scheda dei parametri CloudFormation, se preferisci.

Per creare l’applicazione SAML nel portale di Azure AD

1. Accedi al Portale di Azure e, nella sezione Servizio di Azure, scegli Azure Active Directory.
2. Nella barra laterale sinistra, scegli Applicazioni Enterprise .
3. Fai clic su Nuova applicazione , quindi su Crea la tua applicazione . Compila i seguenti campi:
   • Inserisci nome: Assegna un nome all’applicazione, ad esempio “Zendesk for Contact Center production”. Seleziona “Integra qualsiasi altra applicazione che non trovi nella raccolta (non raccolta)”. Seleziona “Crea”.

     

     Ci vorranno alcuni secondi prima che l’applicazione venga creata in Azure AD, quindi verrai reindirizzato alla pagina di panoramica dell’applicazione appena aggiunta.

Per configurare Single Sign-On usando SAML

1. Nella pagina Introduzione, nel riquadro Configura Single Sign-On, fai clic su Inizia .

   

2. Nella schermata successiva, seleziona SAML.
3. Nel riquadro centrale, in Configura Single Sign-On con SAML, nella sezione Configurazione SAML di base, fai clic sull’icona di modifica.
4. Vai al riquadro centrale in Configura Single Sign-On con SAML
5. Nella sezione Attributi utente e attestazioni, fai clic su Modifica .
6. Inserisci i seguenti valori di campo:
   • Identificatore (ID entità): urn:amazon:cognito:sp: ${ID pool}
   • URL di risposta (URL Assertion Consumer Service): https:// ${DomainPrefix} .auth. ${RegionID} .amazoncognito.com/saml2/idpresponse
   • [.callout-primary--alert-message]

   Sostituisci i segnaposto sopra con i valori copiati dal pool di utenti Cognito. [.callout-primary--alert-message]

   

7. Fai clic su Aggiungi un’attestazione di gruppo .
8. Nella pagina Attributi utente e attestazioni, nel riquadro a destra in Raggruppa attestazioni, seleziona Gruppi assegnati all’applicazione . Lascia l’attributo Origine come ID gruppo, come mostrato nella schermata qui sotto.

   

9. Fai clic su Salva.
10. Chiudi la pagina Attributi utente e attestazioni. Verrai reindirizzato alla pagina Configura Single Sign-On con SAML.
11. Scorri verso il basso fino alla sezione Certificato di firma SAML e copia l’URL dei metadati della federazione app selezionando l’icona Copia negli appunti. Tieni questo URL a portata di mano perché ti servirà nel passaggio successivo.

    

Per configurare un provider di identità nel pool di utenti Cognito

1. Accedi all’account AWS che contiene il pool di utenti Cognito.
2. Vai a Cognito e apri il pool di utenti.
3. Seleziona la scheda Esperienza di accesso, quindi fai clic su Aggiungi provider di identità .

   

4. Nella pagina successiva, seleziona SAML.
5. In Configura la federazione SAML con questo pool di utenti, configura quanto segue:
   • Nome provider: Inserisci un nome per questo provider di identità. Si consiglia di non usare spazi nel nome.
   • Origine documento Metadata : Incolla l’URL dei metadati del passaggio precedente nel campo URL dell’endpoint dei metadati.
6. In Mappa attributi tra il provider SAML e il pool di utenti, imposta il seguente attributo:

   Attributo del pool di utenti	Attributo SAML
   email	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

7. Fai clic su Aggiungi provider di identità .

   A questo punto è stato creato il provider di identità richiesto. L’ultimo passaggio della configurazione di Cognito consiste nello specificare che il client dell’app userà questo provider di identità per l’autenticazione degli agenti.

Per specificare il provider di identità da usare per l’autenticazione agente

1. Seleziona Integrazione app nella vista a schede, scorri fino in fondo e fai clic su client app per aprirla.
2. Scorri verso il basso fino alla sezione Interfaccia utente in hosting e fai clic su Modifica .

   

3. In Pagine di iscrizione e accesso in hosting, scorri verso il basso fino all’elenco a discesa Provider di identità. Seleziona il provider di identità configurato nel passaggio precedente.
4. Fai clic su Salva modifiche.
5. Zendesk richiede il nome dell’IDP (configurato in Esperienza di accesso) per completare la configurazione dell’account. Includilo insieme agli output di CloudFormation nelle informazioni che condividi con Zendesk.