Comment puis-je configurer l'authentification basée sur SAML 2.0 pour mon instance Amazon Connect à l'aide d'AWS IAM Identity Center ?
Je souhaite configurer l'authentification basée sur SAML 2.0 pour mon instance Amazon Connect à l'aide d'AWS Identity and Access Management (IAM) Identity Center (successeur d'AWS Single Sign-On).
Brève description
Pour configurer l'authentification basée sur SAML 2.0 pour votre instance Amazon Connect, procédez comme suit :
- Créez une instance Amazon Connect qui utilise l'authentification basée sur SAML 2.0.
- Créez une application cloud IAM Identity Center pour vous connecter à votre instance Amazon Connect.
- Créer un fournisseur d'identité (IdP) AWS Identity and Access Management (IAM)
- Créez une politique IAM pour votre instance Amazon Connect qui autorise l'action GetFederationToken.
- Créez un rôle IAM qui accorde aux utilisateurs fédérés l'accès à votre instance Amazon Connect.
- Mappez les attributs utilisateur de votre instance Amazon Connect aux attributs IAM Identity Center.
- Créez des utilisateurs dans IAM Identity Center et attribuez-les à votre application cloud IAM Identity Center.
- Testez votre configuration en vous connectant à Amazon Connect à l'aide de votre IdP et de l'une des informations d'identification de l'utilisateur du centre d'identité IAM que vous avez créées.
Important : assurez-vous de suivre ces étapes dans la même région AWS que celle dans laquelle se trouve votre instance Amazon Connect.
Résolution
Créer une instance Amazon Connect qui utilise l'authentification basée sur SAML 2.0
Suivez les instructions de la section Créer une instance Amazon Connect. Lorsque vous configurez l'instance, veillez à effectuer les opérations suivantes :
- Lorsque vous configurez la gestion des identités pour votre instance, choisissez l'authentification basée sur SAML 2.0.
- Lorsque vous spécifiez l'administrateur de votre instance, sélectionnez Ajouter un nouvel administrateur. Ensuite, attribuez un nom au compte utilisateur dans Amazon Connect.
Remarque : le mot de passe de cet utilisateur est géré par votre IdP. - Lorsque vous configurez les options de téléphonie pour votre instance, acceptez les options par défaut.
- Lorsque vous configurez les paramètres de stockage de données de votre instance, acceptez les options par défaut.
Créez une application cloud IAM Identity Center pour vous connecter à votre instance Amazon Connect.
Suivez les instructions de la section Ajouter et configurer une application cloud dans le guide de l'utilisateur du centre d'identité IAM. Lorsque vous configurez votre application cloud, veillez à effectuer les opérations suivantes :
- Choisissez Amazon Connect comme fournisseur de services pour l'application cloud.
- Dans la section Métadonnées IAM Identity Center, téléchargez les certificats IAM Identity Center et IAM Identity Center.
Remarque : vous avez besoin de ces fichiers pour configurer un IdP IAM. Si vous utilisez un IdP autre qu'IAM Identity Center, vous devez obtenir les fichiers de métadonnées SAML auprès de cet IdP. - Dans la section Propriétés de l'application, acceptez l'état de relais par défaut.
Créer un fournisseur d'identité IAM
Suivez les instructions de la section Création et gestion d'un fournisseur d'identité IAM (console). Lorsque vous créez le fournisseur d'identité, veillez à effectuer les opérations suivantes :
- Dans le champ Nom du fournisseur, renseignez le ConnectIAM Identity Center.
- Pour Document de métadonnées, choisissez le fichier de métadonnées SAML IAM Identity Center que vous avez téléchargé à l'étape précédente.
Important : relevez l'Amazon Resource Name (ARN) du fournisseur d'identité. Vous en avez besoin pour mapper les attributs utilisateur de votre instance Amazon Connect aux attributs IAM Identity Center.
Créer une politique IAM pour votre instance Amazon Connect qui autorise l'action GetFederationToken
Utilisez le modèle JSON suivant pour créer une politique IAM nommée ConnectIAM-Identity-Center-Policy. Remplacez <connect instance ARN> par l'ARN de votre instance Amazon Connect.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": [ "<connect instance ARN>/user/${aws:userid}" ] } ] }
Pour en savoir plus, reportez-vous à Création de politiques IAM et GetFederationToken.
Créer un rôle IAM qui accorde aux utilisateurs fédérés l'accès à votre instance Amazon Connect
Suivez les instructions de la section Création d'un rôle pour SAML du guide de l'utilisateur AWS IAM. Lorsque vous créez le rôle IAM, veillez à effectuer les opérations suivantes :
- Dans le champ fournisseur SAML, renseignez le nom du ConnectIAM Identity Center.
- Choisissez Autoriser l'accès par programmation et l'accès à la console de gestion AWS.
- Dans le champ réservé à la Politique, choisissez la politique ConnectIAM-Identity-Center-Policy que vous avez créée à l'étape précédente.
- Dans le champ Nom du rôle, renseignez le nom du ConnectIAM-Identity-Center.
Important : relevez l'ARN du rôle IAM. Vous en avez besoin pour mapper les attributs utilisateur de votre instance Amazon Connect aux attributs IAM Identity Center.
Mapper les attributs utilisateur de votre instance Amazon Connect aux attributs IAM Identity Center
Suivez les instructions de la section Mapper les attributs de votre application aux attributs IAM Identity Center. Lorsque vous mappez vos attributs, veillez à ajouter les attributs et valeurs suivants. Remplacez <IAM role ARN> par l'ARN de votre rôle IAM. Remplacez <IAM IdP ARN> par l'ARN de votre fournisseur d'identité IAM.
- Attribut : valeur du sujet : ${user:email}
- Attribut : https://aws.amazon.com/SAML/Attributes/RoleSessionName Valeur : ${user:email}
- Attribut : https://aws.amazon.com/SAML/Attributes/Role Valeur : <IAM role ARN>,<IAM IdP ARN>
Pour en savoir plus, reportez-vous à Mappages d'attributs.
Créez des utilisateurs dans IAM Identity Center et attribuez-les à votre application cloud IAM Identity Center
Suivez les instructions de la section Gestion des identités dans IAM Identity Center.
Testez votre configuration en vous connectant à Amazon Connect à l'aide de votre IdP et de l'une des informations d'identification de l'utilisateur du centre d'identité IAM que vous avez créées.
Suivez les instructions de la section Connexion au portail d'accès AWS du guide de l'utilisateur du centre d'identité IAM.
Informations connexes
Résoudre les problèmes liés au protocole SAML avec Amazon Connect
Configurer IAM Identity Center à l'aide de Microsoft Azure Active Directory pour Amazon Connect
Configurer le centre d'identité IAM pour Amazon Connect à l'aide d'Okta
Contenus pertinents
- demandé il y a 20 heureslg...
- demandé il y a 8 moislg...
- demandé il y a 10 moislg...
- demandé il y a un anlg...
- demandé il y a 4 moislg...
- AWS OFFICIELA mis à jour il y a 8 mois
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a 3 ans
- AWS OFFICIELA mis à jour il y a 3 ans