已验证人工智能概要 ◀▼

使用AWS作为 SAML 身份提供者,为 Amazon Connect 和联系中心设置单点登录 (SSO)。在AWS身份中心配置 SAML 应用程序,确保它们与您的组织位于相同的AWS账户中。对于 Amazon Connect,使用服务控制策略管理权限。对于联系人中心,配置 Cognito 用户池,并指定身份提供者以进行专员身份验证。

您可以将适用于联系中心的 Amazon Connect 和 Zendesk 配置为使用AWS作为基于 SAML 的身份提供商进行 SSO。Amazon Connect 和联系人中心各需要一个 SAML 申请。所需的 SAML 应用程序在AWS身份中心创建和配置。

本文假定您已在AWS组织内的单独AWS帐户(可能在不同区域)中设置AWS组织和 iam 身份中心。必须在AWS身份中心(即设置您的AWS组织的帐户)中创建 SAML 应用程序。在开始之前,请确保您有权访问此环境,或具有所需访问权限的人员可以协助创建 SAML 应用程序。

本文章包含以下主题:
  • 为 Amazon Connect 配置 SSO
  • 配置 Zendesk 的 SSO(用于联系人中心)

为 Amazon Connect 配置 SSO

要设置 Amazon Connect 的单点登录 (SSO),您需要在 身份中心配置 SAML 应用程序,这通常位于单独的AWS帐户和区域中。但是,身份提供者、用户角色和政策必须与 Amazon Connect 在同一个AWS帐户中建立。请参阅 Amazon Connect 文档:以AWS配置 Amazon Connect SSO 作为身份提供商详细描述了如何以AWS配置 Amazon Connect SSO 作为身份提供商。

最好使用服务控制策略 (SCP) 来管理关于用户和用户角色在 Amazon Connect 中可执行操作的权限,保护重要资源并使您的系统更加安全。请参阅Amazon Connect 的安全最佳实践。

以下示例显示了可用于防止删除 Amazon Connect 实例和关联用户角色的 SCP:

<pre><code class="language-json">
{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/***Amazon Connect user role***"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
        "***Amazon Connect instance ARN***"
      ]
    }
  ]
} 
</pre></code>

配置联系人中心的 SSO

要设置联系人中心的单点登录 (SSO),您需要将 Cognito 用户池配置为使用 SAML 应用程序进行登录。Cognito 用户池是由 Zendesk for Contact Center CloudFormation 模板创建的用户池。

流程步骤包括:

  • 收集所需的 Cognito 用户池详情
  • 在AWS身份中心创建 SAML 应用程序
  • 在 Cognito 用户池中配置身份提供者
  • 指定此身份提供者用于专员身份验证

收集所需的 Cognito 用户池详情

设置 Zendesk 联系人中心单点登录 (SSO) 的第一步是收集所需的 Cognito 用户池详情。

收集所需的 Cognito 用户池详情
  1. 登录创建适用于联络中心的 Zendesk CloudFormation 堆栈的AWS帐户。
  2. 在 Cognito 服务中(确保您位于正确的区域),打开在创建联系人中心 CloudFormation 堆栈时创建的用户池。

    记下用户池 ID。

  3. 单击应用整合标签,然后记下 Cognito 域名前缀。

    这是 Cognito 域名的第一部分,在.auth.regionxxx之前。这也是在 CloudFormation 模板中指定的值,因此您可以根据需要从 CloudFormation 参数标签复制该值。

在AWS身份中心创建 SAML 应用程序

设置联系中心单点登录 (SSO) 的第二步是在AWS身份中心创建 SAML 应用程序。

在AWS身份中心创建 SAML 应用程序
  1. 登录配置于其中AWS IAM 身份中心的AWS帐户。
  2. 选择应用程序分配>应用程序,然后单击添加应用程序。
  3. 单击添加自定义 SAML 2.0 应用程序。
  4. 输入以下信息:
    • 显示名称是在 SAML 磁贴上显示的名称。
    • 应用程序起始 URL (可选)是联系人中心的 URL。这与在 Amazon Connect 中添加为已批准来源的 URL 相同。它具有以下格式:

      https://${ LMWorkspace }.${ LMRegion }.localmetric.com

    • 中继状态应留空。
    • 在应用程序元数据下,选择手动输入您的元数据值,然后指定以下内容:
      • 应用程序 ACS URL :https://${ yourDomainPrefix }.auth.${地区}.amazoncognito.com/saml2/idpresponse
      • 应用程序 SAML 受众:urn:Amazon:cognito:sp:${ yourUserPoolID }

  5. 单击提交。
  6. 选择操作>编辑属性映射。

  7. 在应用程序中输入以下属性:
    表格 1.
    SAML 属性 映射到字符串值或用户属性 格式
    主题 ${user:email} 持久
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ${user:email}  

  8. 单击保存更改。
  9. 在已分配用户下,单击分配用户,然后添加有权访问联系人中心的用户或用户组。
  10. 再次单击操作,然后选择编辑配置。
  11. 在身份中心 SAML 元数据文件下,单击下载。

    保存此文件。您将需要它来完成 Cognito 配置。

在 Cognito 用户池中配置身份提供者

设置 Zendesk 联系中心单点登录的第三步是在 Cognito 用户池中配置身份提供者。

在 Cognito 用户池中配置身份提供者
  1. 登录包含 Cognito 用户池的AWS帐户。
  2. 在 Cognito 服务中,打开用户池。
  3. 单击登录体验标签,然后单击添加身份提供商。

  4. 单击SAML 。
  5. 在设置与此用户池的 SAML 联合下,完成以下选项:
    • 提供商名称:为此身份提供商输入一个名称。请勿在名称中使用任何空格。
    • Metadata文档来源:选择上传元数据文档>选择 文件,然后选择从AWS身份中心下载的 SAML 元数据文件。
  6. 在SAML 提供商和用户池之间的映射属性下,设置以下属性:
    • 用户池属性:电邮
    • SAML 属性: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  7. 单击添加身份提供商。

    至此,所需的身份提供商已创建。

指定此身份提供者用于专员身份验证

设置联系人中心单点登录的最后一步是指定用于专员身份验证的身份提供者。

指定用于专员身份验证的身份提供者
  1. 在标签式视图中,单击应用整合,然后单击页面底部的应用客户端。
  2. 在客户端应用的托管 UI 部分,单击编辑。

  3. 在托管注册和登录页面下,单击标识提供者下拉列表,然后选择您在在 Cognito 用户池的配置标识提供者中配置的标识提供者。
  4. 单击保存更改。

    Zendesk 需要 IDP 的姓名(如登录体验中的配置)以完成帐户设置。将此以及与 Zendesk 共享的 CloudFormation 输出信息包括在内。

翻译免责声明:本文章使用自动翻译软件翻译,以便您了解基本内容。 我们已采取合理措施提供准确翻译,但不保证翻译准确性

如对翻译准确性有任何疑问,请以文章的英语版本为准。

由 Zendesk 提供技术支持