如何使用 AWS IAM Identity Center 为我的 Amazon Connect 实例设置基于 SAML 2.0 的身份验证?
我想使用 AWS Identity and Access Management(IAM)Identity Center(AWS Single Sign-On 的继任者)为我的 Amazon Connect 实例设置基于 SAML 2.0 的身份验证。
简短描述
要为您的 Amazon Connect 实例设置基于 SAML 2.0 的身份验证,请执行以下操作:
- 创建使用基于 SAML 2.0 的身份验证的 Amazon Connect 实例。
- 创建 IAM Identity Center 云应用程序以连接到您的 Amazon Connect 实例。
- 创建 AWS Identity and Access Management(IAM)身份提供者(IdP)
- 为您的 Amazon Connect 实例创建 IAM 策略,该策略允许执行 GetFederationToken 操作。
- 创建一个 IAM 角色,向联合用户授予访问您的 Amazon Connect 实例的权限。
- 将您的 Amazon Connect 实例的用户属性映射到 IAM Identity Center 属性。
- 在 IAM Identity Center 中创建用户,并将他们分配到您的 IAM Identity Center 云应用程序。
- 使用 IdP 和您创建的 IAM Identity Center 用户凭证之一登录 Amazon Connect 来测试您的设置。
**重要事项:**请务必在您的 Amazon Connect 实例所在的 AWS 区域执行以下步骤。
解决方法
创建使用基于 SAML 2.0 的身份验证的 Amazon Connect 实例
按照创建 Amazon Connect 实例中的说明进行操作。配置实例时,请确保执行以下操作:
- 为您的实例配置身份管理时,请选择基于 SAML 2.0 的身份验证。
- 为您的实例指定管理员时,请选择添加新管理员。然后,在 Amazon Connect 中为用户账户提供一个名称。
**注意:**此用户的密码通过您的 IdP 管理。 - 为您的实例配置电话选项时,请接受默认选项。
- 为您的实例配置数据存储设置时,请接受默认选项。
创建 IAM Identity Center 云应用程序以连接到您的 Amazon Connect 实例
按照 IAM Identity Center 用户指南中的添加和配置云应用程序中的说明进行操作。配置云应用程序时,请确保执行以下操作:
- 选择 Amazon Connect 作为云应用程序的服务提供商。
- 在 IAM Identity Center 元数据下,下载 IAM Identity Center 和 IAM Identity Center 证书。
**注意:**您需要这些文件来设置 IAM IdP。如果您使用的是 IAM Identity Center 以外的 IdP,则必须从该 IdP 中获取 SAML 元数据文件。 - 在应用程序属性下,接受默认中继状态。
创建 IAM IdP
按照创建和管理 IAM 身份提供者(控制台)中的说明进行操作。创建 IdP 时,请确保执行以下操作:
- 对于提供者名称,请输入 ConnectIAM Identity Center。
- 对于元数据文档,选择您在上一步中下载的 IAM Identity Center SAML 元数据文件。
**重要事项:**记下 IdP 的Amazon 资源名称(ARN)。您需要它来将 Amazon Connect 实例的用户属性映射到 IAM Identity Center 属性。
为您的 Amazon Connect 实例创建允许执行 GetFederationToken 操作的 IAM 策略
使用以下 JSON 模板创建名为 ConnectIAM-Identity-Center-Policy 的 IAM 策略。请将 <connect instance ARN> 替换为您的 Amazon Connect 实例的 ARN。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": [ "<connect instance ARN>/user/${aws:userid}" ] } ] }
有关详细信息,请参阅创建 IAM 策略和 GetFederationToken。
创建一个 IAM 角色,向联合用户授予访问您的 Amazon Connect 实例的权限
按照 AWS IAM 用户指南的为 SAML 创建角色中的说明进行操作。创建 IAM 角色时,请确保执行以下操作:
- 对于 SAML 提供者,请输入 ConnectIAM Identity Center。
- 选择允许编程访问和 AWS 管理控制台访问。
- 对于策略,选择您在上一步中创建的 ConnectIAM-Identity-Center-Policy。
- 对于角色名称,输入 ConnectIAM-Identity-Center。
**重要事项:**记下 IAM 角色的 ARN。您需要它来将 Amazon Connect 实例的用户属性映射到 IAM Identity Center 属性。
将您的 Amazon Connect 实例的用户属性映射到 IAM Identity Center 属性
按照将应用程序中的属性映射到 IAM Identity Center 属性中的说明进行操作。映射属性时,请确保添加以下属性和值。请将 <IAM role ARN> 替换为您的 IAM 角色的 ARN。请将 <IAM IdP ARN> 替换为您的 IAM IdP 的 ARN。
- 属性:主题值:${user:email}
- 属性:https://aws.amazon.com/SAML/Attributes/RoleSessionName值:${user:email}
- 属性:https://aws.amazon.com/SAML/Attributes/Role值: <IAM role ARN>,<IAM IdP ARN>
有关详细信息,请参阅属性映射。
在 IAM Identity Center 中创建用户并将他们分配到您的 IAM Identity Center 云应用程序
按照管理 IAM Identity Center 中的身份中的说明进行操作。
使用 IdP 和您创建的 IAM Identity Center 用户凭证之一登录 Amazon Connect 来测试您的设置
按照 IAM Identity Center 用户指南中的登录 AWS 访问门户中的说明进行操作。
相关信息
使用 Amazon Connect 对 SAML 进行故障排除
使用适用于 Amazon Connect 的 Microsoft Azure Active Directory 配置 IAM Identity Center
相关内容
- AWS 官方已更新 2 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 3 年前
- AWS 官方已更新 8 个月前
