이 AWS 가이드에서는 Azure AD를 ID 제공업체로 사용하여 Amazon Connect SSO를 구성하는 방법에 대해 설명합니다.

서비스 제어 정책(SCP)을 사용하여 Amazon Connect에서 사용자와 역할이 수행할 수 있는 작업에 관한 권한을 관리하여 중요한 리소스를 보호하고 시스템을 더욱 안전하게 만드는 것이 좋습니다.

권장 참고 자료: Amazon Connect의 보안 성공 사례

다음은 Amazon Connect 인스턴스 및 관련 역할의 삭제를 방지하는 데 사용할 수 있는 예제 SCP입니다.

<pre><code class="language-json">
&lt;pre&gt;&lt;code class=&quot;language-json&quot;&gt;
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/***Amazon Connect user role***"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"
      ],
      "Resource": [
        "***Amazon Connect instance ARN***"
      ]
    }
  ]
}
&lt;/pre&gt;&lt;/code&gt;
</pre></code>

Contact Center의 통합 인증(SSO)은 로그인에 SAML 애플리케이션을 사용하도록 Cognito 사용자 풀을 구성하여 구현됩니다. Cognito 사용자 풀은 Contact Center CloudFormation 기본서식으로 만든 것입니다.

다음은 따라야 할 개괄적인 프로세스를 요약한 것입니다.

1. 필요한 Cognito 사용자 풀 세부 정보를 수집합니다.
2. Azure AD 포털에서 SAML 애플리케이션을 만듭니다.
3. Cognito 사용자 풀에서 ID 제공업체를 구성합니다.
4. 상담사 인증에 사용할 이 ID 제공업체를 지정하세요.

Contact Center에 대한 SSO를 구성하려면 다음과 같이 하세요.

필요한 Cognito 사용자 풀 세부 정보 수집

1. Contact Center CloudFormation 스택이 만들어진 AWS 계정에 로그인합니다. Cognito 서비스로 이동하여(올바른 지역에 있는지 확인) Contact Center CloudFormation 스택을 만들 때 만들어진 사용자 풀을 엽니다. 다음 이미지와 같이 사용자 풀 ID를 기록해 둡니다.

   

2. 앱 연동 탭을 클릭하고 Cognito 도메인 접두어를 기록해 둡니다. Cognito 도메인에서 '.auth.regionxxx' 앞의 첫 번째 부분입니다. 이 값은 CloudFormation 기본서식에 지정된 값이기도 하므로 원하는 경우 CloudFormation 매개변수 탭에서 복사할 수 있습니다.

Azure AD 포털에서 SAML 애플리케이션을 만들려면 다음과 같이 하세요.

1. Azure 포털에 로그인하고 Azure 서비스 섹션에서 Azure Active Directory를 선택합니다.
2. 왼쪽 사이드바에서 엔터프라이즈 애플리케이션을 선택합니다.
3. 새 애플리케이션을 클릭한 다음 직접 애플리케이션 만들기를 클릭합니다. 다음 필드를 입력합니다.
   • 입력 이름: 애플리케이션에 이름을 지정합니다(예: '컨택 센터 프로덕션용 Zendesk'). '갤러리에 없는 다른 모든 애플리케이션 연동(갤러리 외)'를 선택합니다. '만들기'를 선택합니다.

     

     Azure AD에서 애플리케이션이 만들어지는 데 몇 초 정도 소요된 후 새로 추가된 애플리케이션의 개요 페이지로 리디렉션됩니다.

SAML을 사용하여 통합 인증을 설정하려면 다음과 같이 하세요.

1. 시작하기 페이지의 통합 인증 설정 타일에서 시작하기를 클릭합니다.

   

2. 다음 화면에서 SAML을 선택합니다.
3. 가운데 창의 SAML로 통합 인증 설정 아래의 기본 SAML 구성 섹션에서 편집 아이콘을 클릭합니다.
4. SAML로 통합 인증 설정 아래의 가운데 창으로 이동합니다.
5. 사용자 속성 및 클레임 섹션에서 편집을 클릭합니다.
6. 다음 필드 값을 입력합니다.
   • 식별자(엔티티 ID): urn:amazon:cognito:sp: ${pool ID}
   • 답장 URL(어설션 소비자 서비스 URL): https:// ${DomainPrefix} .auth. ${RegionID} .amazoncognito.com/saml2/idpresponse
   • [.callout-primary--alert-message]

   위의 자리 표시자를 Cognito 사용자 풀에서 복사한 값으로 바꿉니다. [.callout-primary--alert-message]

   

7. 그룹 클레임 추가를 클릭합니다.
8. 사용자 속성 및 클레임 페이지의 오른쪽 창에 있는 그룹 클레임 아래에서 애플리케이션에 배정된 그룹을 선택합니다. 아래 스크린샷과 같이 소스 속성을 그룹 ID로 그대로 둡니다.

   

9. 저장을 클릭합니다.
10. 사용자 속성 및 클레임 페이지를 닫습니다. SAML로 통합 인증 설정 페이지로 리디렉션됩니다.
11. SAML 서명 인증서 섹션으로 내려가 클립보드에 복사 아이콘을 선택하여 앱 페더레이션 메타데이터 URL을 복사합니다. 다음 단계에서 필요하므로 이 URL을 잘 보관해 두세요.

    

Cognito 사용자 풀에서 ID 제공업체를 구성하려면 다음과 같이 하세요.

1. Cognito 사용자 풀이 포함된 AWS 계정에 로그인합니다.
2. Cognito로 이동하여 사용자 풀을 엽니다.
3. 로그인 환경 탭을 선택한 다음 ID 제공업체 추가를 클릭합니다.

   

4. 다음 페이지에서 SAML을 선택합니다.
5. 이 사용자 풀로 SAML 페더레이션 설정 아래에서 다음을 구성합니다.
   • 제공업체 이름: 이 ID 제공업체의 이름을 입력합니다. 이름에 공백을 사용하지 않는 것이 좋습니다.
   • Metadata 문서 소스: 이전 단계의 메타데이터 URL을 메타데이터 엔드포인트 URL 필드에 붙여넣습니다.
6. SAML 제공업체와 사용자 풀 간의 속성 맵핑 아래에서 다음 속성을 설정합니다.

   사용자 풀 속성	SAML 속성
   email	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

7. ID 제공업체 추가를 클릭합니다.

   이제 필수 ID 제공업체가 만들어졌습니다. Cognito 구성의 마지막 단계는 앱 클라이언트가 상담사 인증에 이 ID 제공업체를 사용하도록 지정하는 것입니다.

상담사 인증에 사용할 ID 제공업체를 지정하려면 다음과 같이 하세요.

1. 탭 보기에서 앱 연동을 선택하고 아래쪽으로 스크롤하여 앱-클라이언트를 클릭하여 엽니다.
2. 호스팅된 UI 섹션으로 내려가 편집을 클릭합니다.

   

3. 호스팅된 가입 및 로그인 페이지 아래에서 ID 제공업체 드롭다운 목록으로 이동합니다. 이전 단계에서 구성된 ID 제공업체를 선택합니다.
4. 변경 내용 저장을 클릭합니다.
5. Zendesk에서 계정 설정을 완료하려면 로그인 환경에서 구성된 대로 IDP의 이름이 필요합니다. Zendesk와 공유하는 정보에 CloudFormation 출력과 함께 이를 포함하세요.