Usa questa guida AWS per informazioni dettagliate su come configurare Amazon Connect SSO con Google Workspaces come provider di identità:

Ti consigliamo di usare le policy di controllo dei servizi (SCP) per gestire le autorizzazioni relative a ciò che utenti e ruoli possono fare in Amazon Connect, proteggere risorse importanti e rendere più sicuro il tuo sistema.

Letture consigliate: Best practice di sicurezza per Amazon Connect

Di seguito è riportato un esempio di SCP che può essere usato per impedire l’eliminazione dell’istanza Amazon Connect e del ruolo associato:

<pre><code class="language-json">
&lt;pre&gt;&lt;code class=&quot;language-json&quot;&gt;
{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Sid": "AmazonConnectRoleDenyDeletion",
 "Effect": "Deny",
 "Action": [
 "iam:DeleteRole"
 ],
 "Resource": [
 "arn:aws:iam::*:role/***Amazon Connect user role***"
 ]
 },
 {
 "Sid": "AmazonConnectInstanceDenyDeletion",
 "Effect": "Deny",
 "Action": [
 "connect:DeleteInstance"
 ],
 "Resource": [
 "***Amazon Connect instance ARN***"
 ]
 }
 ]
}
&lt;/pre&gt;&lt;/code&gt;
</pre></code>

Single Sign-On (SSO) per Contact Center viene implementato configurando il pool di utenti Cognito per l’uso di un’applicazione SAML per l’accesso. Il pool di utenti Cognito in questione è quello creato dal modello Contact Center CloudFormation.

Per configurare SSO per Contact Center

Accedi all’account AWS in cui è stato creato lo stack Zendesk per Contact Center CloudFormation. Passa al servizio Cognito (assicurati di trovarti nell’area geografica corretta) e apri lo UserPool creato al momento della creazione dello stack Contact Center CloudFormation. Annota l’ID del pool di utenti come mostrato nell’immagine seguente.

Fai clic sulla scheda Integrazione app e prendi nota del prefisso di dominio Cognito. Questa è la prima parte del dominio Cognito, prima di “.auth.regionxxx”, come evidenziato nell’immagine qui sotto. Questo è anche il valore specificato nel modello CloudFormation, quindi può essere copiato anche dalla scheda dei parametri CloudFormation, se lo si preferisce.

Apri la Console di amministrazione in Google Workspace. Nel pannello di navigazione più a sinistra, seleziona la freccia del menu a discesa “App” e seleziona “App web e per dispositivi mobili”. Fai clic su “Aggiungi app” e seleziona “Aggiungi app SAML personalizzata”.

Per configurare l’integrazione SAML per l’app Spazio di lavoro Google

1. Nella sezione Dettagli app, inserisci un nome per l’app, una descrizione facoltativa e scegli un’icona.
2. Fai clic su Continua.
3. Fai clic su Scarica metadati . Questo file verrà usato per completare la configurazione di Cognito in AWS.
4. Fai clic su Continua.
5. Compila i seguenti campi in Dettagli fornitore di servizi:
   • URL ACS: https://${yourDomainPrefix}.auth.{region}.amazoncognito.com/saml2/idpresponse.
   • ID entità: urn:amazon:cognito:sp:${yourUserPoolId}
   • Formato ID NAME: ENTITÀ
   • ID nome: Informazioni di base> Indirizzo email principale
   Nota: Sostituisci ${yourDomainPrefix}, ${region} e ${yourUserPoolId} con i valori del pool di utenti Cognito.

   

6. Fai clic su Continua.
7. In Mappatura attributi, aggiungi un attributo di Google Directory con il valore seguente:

   Attributi di Google Directory	Valore
   Email principale	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

8. Fai clic su Fine.

Quando crei un’app SAML, questa è disattivata per impostazione predefinita. Ciò significa che per gli utenti che hanno effettuato l’accesso al proprio account Google Workspaces, l’app SAML non sarà visibile. Quindi, attiva l’app Contact Center per gli utenti di Google Workspace.

Per concedere agli utenti l’accesso a Google Workspace

1. Seleziona Accesso utente nella configurazione dell’app Contact Center.
2. Fai clic su Visualizza dettagli .
3. Per attivare un servizio per tutti i membri dell’organizzazione, fai clic su ATTIVO per tutti ,
4. Fai clic su Salva.

Se non vuoi attivare questa applicazione per tutti gli utenti, puoi sfruttare le unità organizzative di Google Workspaces e attivare l’app Contact Center solo per un sottoinsieme di utenti.

Per configurare un provider di identità

1. Accedi all’account AWS che contiene il pool di utenti Cognito. Passa a Cognito e apri il pool di utenti.
2. Seleziona la scheda Esperienza di accesso, quindi fai clic su Aggiungi provider di identità come indicato nell’immagine seguente:

   

3. Nella pagina risultante, seleziona SAML.
4. In Configura la federazione SAML con questo pool di utenti:
   • Nome provider: Inserisci un nome per questo provider di identità. Si consiglia di non usare spazi nel nome, ad esempio google.
   • Origine documento Metadata : Carica il file di metadati scaricato nella console di Google Workspace.
5. In Mappa attributi tra il provider SAML e il pool di utenti, imposta il seguente attributo:

   Attributo del pool di utenti	Attributo SAML
   email	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

6. Fai clic su Aggiungi provider di identità .

A questo punto è stato creato il provider di identità richiesto. L’ultimo passaggio della configurazione di Cognito consiste nello specificare che il client dell’app deve usare questo provider di identità.

Per specificare il provider di identità

1. Seleziona Integrazione app nella vista a schede, scorri fino in fondo e fai clic su client app per aprirla.
2. Dopo aver aperto l’app client, scorri verso il basso fino alla sezione Interfaccia utente in hosting e fai clic su Modifica .

   

3. In Pagine di iscrizione e accesso in hosting, scorri verso il basso fino all’elenco a discesa Provider di identità. Fai clic qui e seleziona il provider di identità configurato nel passaggio precedente.
4. Fai clic su Salva modifiche.
5. Zendesk richiede il nome dell’IDP (configurato in Esperienza di accesso) per completare la configurazione dell’account. Includilo insieme alle informazioni sugli output di CloudFormation.