Use este guia AWS para aprender detalhadamente como configurar o SSO do Amazon Connect com o Google Workspaces como provedor de identidade:

Recomendamos o uso de políticas de controle de serviço (SCPs) para gerenciar permissões sobre o que os usuários e funções podem fazer no Amazon Connect, protegendo recursos importantes e tornando seu sistema mais seguro.

Leitura recomendada:Práticas recomendadas de segurança para o Amazon Connect

Abaixo está um exemplo de SCP que pode ser usado para evitar a exclusão da instância do Amazon Connect e da função associada:

<pre><code class="language-json">
&lt;pre&gt;&lt;code class=&quot;language-json&quot;&gt;
{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Sid": "AmazonConnectRoleDenyDeletion",
 "Effect": "Deny",
 "Action": [
 "iam:DeleteRole"
 ],
 "Resource": [
 "arn:aws:iam::*:role/***Amazon Connect user role***"
 ]
 },
 {
 "Sid": "AmazonConnectInstanceDenyDeletion",
 "Effect": "Deny",
 "Action": [
 "connect:DeleteInstance"
 ],
 "Resource": [
 "***Amazon Connect instance ARN***"
 ]
 }
 ]
}
&lt;/pre&gt;&lt;/code&gt;
</pre></code>

O single sign-on (SSO) para a Central de contatos é implementado configurando o Cognito Userpool para usar um aplicativo SAML para entrar. O Cognito Userpool em questão é o que foi criado pelo modelo Contact Center CloudFormation.

Como configurar o SSO para a Central de contatos

Entre na conta AWS na qual a pilha Zendesk para Central de contatos CloudFormation foi criada. Navegue até o serviço Cognito (certifique-se de que você está na região correta) e abra o UserPool que foi criado quando a pilha Contact Center CloudFormation foi criada. Anote a ID do pool de usuários conforme a imagem abaixo.

Clique na aba Integração de aplicativos e anote o prefixo de domínio do Cognito. Esta é a primeira parte do domínio Cognito, antes do '.auth.regionxxx' como destacado na imagem abaixo. Este também é o valor que foi especificado no modelo CloudFormation , portanto, também pode ser copiado da aba Parâmetros CloudFormation, se preferido.

Abra o console de administração no Google Workspace. No painel de navegação mais à esquerda, selecione a seta suspensa “Aplicativos” e navegue até “Aplicativos para dispositivos móveis e web”. Clique em “Adicionar aplicativo” e selecione “Adicionar aplicativo SAML personalizado”.

Como configurar a integração com SAML para o Google Workspace

1. Na seção Detalhes do aplicativo, insira um nome para o aplicativo, uma descrição opcional e escolha um ícone.
2. Clique em Continuar.
3. Clique em Baixar Metadata. Esse arquivo será usado para concluir a configuração do Cognito na AWS.
4. Clique em Continuar.
5. Preencha os seguintes campos em Detalhes do provedor de serviço:
   • URL ACS: https://${yourDomainPrefix}.auth.{region}.amazoncognito.com/saml2/idpresponse.
   • ID da entidade: urn:amazon:cognito:sp:${yourUserPoolId}
   • Formato da ID DO NOME: ENTIDADE
   • ID do nome: Informações básicas> Email principal
   Nota: Substitua ${yourDomainPrefix}, ${region}e ${yourUserPoolId} pelos valores do seu pool de usuários do Cognito.

   

6. Clique em Continuar.
7. Em Mapeamento de atributo, adicione um atributo do Google Directory com o seguinte valor:

   Atributos do Google Directory	Valor
   E-mail principal	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

8. Clique em Finish.

Quando você cria um aplicativo SAML, ele é desativado por padrão. Isso significa que, para usuários conectados à conta do Google Workspaces, o aplicativo SAML não ficará visível para eles. Em seguida, ative o aplicativo Central de contatos para os usuários do Google Workspace.

Como conceder aos usuários acesso ao Google Workspace

1. Navegue até Acesso do usuário na configuração do aplicativo da Central de contatos.
2. Clique em Visualizar detalhes.
3. Para ativar um serviço para todos em sua organização, clique em Ligado para todos,
4. Clique em Salvar.

Se você não quiser ativar esse aplicativo para todos os usuários, pode aproveitar as unidades organizacionais do Google Workspaces e ativar o aplicativo Central de contatos apenas para um subconjunto de usuários.

Como configurar um provedor de identidade

1. Entre na conta AWS que contém o Cognito Userpool. Navegue até Cognito e abra o pool de usuários.
2. Selecione a aba Experiência de entrada e clique em Adicionar provedor de identidade como indicado na imagem abaixo:

   

3. Na página resultante, selecione SAML.
4. Em Configurar federação de SAML com este pool de usuários:
   • Nome do provedor: Insira um nome para esse provedor de identidade. Recomenda-se não usar espaços no nome, por exemplo, google.
   • Fonte do documento Metadata: Carregue o arquivo de metadados baixado no console do Google Workspace.
5. Em Mapear atributos entre seu provedor de SAML e seu pool de usuários, defina o atributo a seguir:

   Atributo do pool de usuários	Atributo SAML
   e-mail	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

6. Clique em Adicionar provedor de identidade.

No momento, o provedor de identidade obrigatório foi criado. A última etapa na configuração do Cognito é especificar que o cliente do aplicativo deve usar esse provedor de identidade.

Como especificar o provedor de identidade

1. Selecione Integração de aplicativos na visualização com abas, role até a parte inferior e clique em app-client para abri-lo.
2. Após a abertura do aplicativo-cliente, role para baixo até a seção Interface do usuário hospedada e clique em Editar.

   

3. Em Páginas de cadastro e entrada hospedadas, role para baixo até a lista suspensa Provedores de identidade . Clique nisso e selecione o provedor de identidade configurado na etapa anterior.
4. Clique em Salvar alterações.
5. O Zendesk requer o nome do IDP (configurado em Experiência de entrada) para concluir a configuração da sua conta. Inclua isso junto com as informações de saídas da CloudFormation .