이 AWS 가이드를 사용하여 Google 워크스페이스를 ID 제공업체로 사용하여 Amazon Connect SSO를 구성하는 방법을 자세히 알아보세요.

서비스 제어 정책(SCP)을 사용하여 Amazon Connect에서 사용자와 역할이 수행할 수 있는 작업에 관한 권한을 관리하여 중요한 리소스를 보호하고 시스템의 보안을 더욱 강화하는 것이 좋습니다.

추천 자료: Amazon Connect의 보안 성공 사례

다음은 Amazon Connect 인스턴스 및 관련 역할의 삭제를 방지하는 데 사용할 수 있는 예제 SCP입니다.

<pre><code class="language-json">
&lt;pre&gt;&lt;code class=&quot;language-json&quot;&gt;
{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Sid": "AmazonConnectRoleDenyDeletion",
 "Effect": "Deny",
 "Action": [
 "iam:DeleteRole"
 ],
 "Resource": [
 "arn:aws:iam::*:role/***Amazon Connect user role***"
 ]
 },
 {
 "Sid": "AmazonConnectInstanceDenyDeletion",
 "Effect": "Deny",
 "Action": [
 "connect:DeleteInstance"
 ],
 "Resource": [
 "***Amazon Connect instance ARN***"
 ]
 }
 ]
}
&lt;/pre&gt;&lt;/code&gt;
</pre></code>

Contact Center의 통합 인증(SSO)은 로그인에 SAML 애플리케이션을 사용하도록 Cognito 사용자 풀을 구성하여 구현됩니다. 해당 Cognito 사용자 풀은 Contact Center CloudFormation 기본서식으로 만든 것입니다.

Contact Center에 대한 SSO를 구성하려면 다음과 같이 하세요.

Contact Center용 Zendesk CloudFormation 스택이 만들어진 AWS 계정에 로그인합니다. Cognito 서비스로 이동하여(올바른 지역에 있는지 확인) Contact Center CloudFormation 스택이 만들어졌을 때 만들어진 UserPool을 엽니다. 아래 이미지에 따라 사용자 풀 ID를 기록해 둡니다.

앱 연동 탭을 클릭하고 Cognito 도메인 접두어를 기록해 둡니다. 아래 이미지에서 강조 표시된 대로 '.auth.regionxxx' 앞에 있는 Cognito 도메인의 첫 부분입니다. 이는 CloudFormation 기본서식에서 지정된 값이기도 하므로 원하는 경우 CloudFormation 매개변수 탭에서 복사할 수도 있습니다.

Google Workspace에서 관리 콘솔을 엽니다. 맨 왼쪽 탐색 창에서 '앱' 드롭다운 화살표를 선택하고 '웹 및 모바일 앱'으로 이동합니다. ‘앱 추가’를 클릭하고 ‘사용자 지정 SAML 앱 추가’를 선택합니다.

Google Workspace 앱에 대한 SAML 연동을 구성하려면 다음과 같이 하세요.

1. 앱 세부 정보 섹션에서 앱의 이름과 설명(선택 사항)을 입력하고 아이콘을 선택합니다.
2. 계속을 클릭합니다.
3. 메타데이터 다운로드를 클릭합니다. 이 파일은 AWS 에서 Cognito 구성을 완료하는 데 사용됩니다.
4. 계속을 클릭합니다.
5. 서비스 제공업체 세부 정보 아래에서 다음 필드를 입력합니다.
   • ACS URL: https://${yourDomainPrefix}.auth.{region}.amazoncognito.com/saml2/idpresponse.
   • 엔터티 ID: urn:amazon:cognito:sp:${yourUserPoolId}
   • NAME ID 형식: 엔터티
   • 이름 ID: 기본 정보> 기본 이메일
   참고: ${yourDomainPrefix}, ${region} 및 ${yourUserPoolId}를 Cognito 사용자 풀의 값으로 바꿉니다.

   

6. 계속을 클릭합니다.
7. 속성 맵핑 아래에서 다음 값으로 Google 디렉토리 속성을 추가합니다.

   Google 디렉토리 속성	값
   기본 이메일	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

8. 마침을 클릭합니다.

SAML 앱을 만들면 기본적으로 사용 중지됩니다. 즉, Google Workspace 계정에 로그인한 사용자에게는 SAML 앱이 표시되지 않습니다. 다음은 Google Workspace 사용자를 위한 Contact Center 앱을 사용 설정합니다.

사용자에게 Google Workspace에 대한 액세스 권한을 부여하려면 다음과 같이 하세요.

1. Contact Center 앱 구성 아래의 사용자 액세스로 이동합니다.
2. 세부 정보 보기를 클릭합니다.
3. 조직의 모든 사람에 대해 서비스를 사용 설정하려면 모두에 대해 사용을 클릭합니다.
4. 저장을 클릭합니다.

모든 사용자에 대해 이 애플리케이션을 활성화하지 않으려면 Google 워크스페이스 조직 단위를 활용하여 일부 사용자에 대해서만 컨택 센터 앱을 활성화할 수 있습니다.

ID 제공업체를 구성하려면 다음과 같이 하세요.

1. Cognito 사용자 풀이 포함된 AWS 계정에 로그인합니다. Cognito로 이동하여 사용자 풀을 엽니다.
2. 로그인 환경 탭을 선택한 다음 아래 이미지에 표시된 대로 ID 제공업체 추가를 클릭합니다.

   

3. 결과 페이지에서 SAML을 선택합니다.
4. 이 사용자 풀로 SAML 페더레이션 설정 아래에서 다음을 수행합니다.
   • 제공업체 이름: 이 ID 제공업체의 이름을 입력합니다. google과 같이 이름에 공백을 사용하지 않는 것이 좋습니다.
   • Metadata 문서 소스: Google 워크스페이스 콘솔에서 다운로드한 메타데이터 파일을 업로드합니다.
5. SAML 제공업체와 사용자 풀 간의 속성 맵핑 아래에서 다음 속성을 설정합니다.

   사용자 풀 속성	SAML 속성
   email	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

6. ID 제공업체 추가를 클릭합니다.

이제 필수 ID 제공업체가 만들어졌습니다. Cognito 구성의 마지막 단계는 앱 클라이언트가 이 ID 제공업체를 사용해야 한다고 지정하는 것입니다.

ID 제공업체를 지정하려면 다음과 같이 하세요.

1. 탭 보기에서 앱 연동을 선택하고 아래쪽으로 스크롤하여 앱-클라이언트를 클릭하여 엽니다.
2. 앱 클라이언트가 열리면 호스팅된 UI 섹션으로 내려가 편집을 클릭합니다.

   

3. 호스팅된 가입 및 로그인 페이지 아래에서 ID 제공업체 드롭다운 목록으로 스크롤합니다. 이 옵션을 클릭하고 이전 단계에서 구성한 ID 제공업체를 선택합니다.
4. 변경 내용 저장을 클릭합니다.
5. Zendesk에서 계정 설정을 완료하려면 로그인 환경에서 구성된 대로 IDP의 이름이 필요합니다. CloudFormation 출력 정보와 함께 이를 포함합니다.