如何使用 AWS SSO 为我的 Amazon Connect 实例设置基于 SAML 2.0 的身份验证？

上次更新日期：2021 年 8 月 5 日

要为您的 Amazon Connect 实例设置基于 SAML 2.0 的身份验证，请执行以下操作：

• 创建使用基于 SAML 2.0 的身份验证的 Amazon Connect 实例。
• 创建 AWS SSO 云应用程序以连接到您的 Amazon Connect 实例。
• 创建 AWS Identity and Access Management (IAM) 身份提供商 (IdP)。
• 为您的 Amazon Connect 实例创建允许 GetFederationToken 操作的 IAM 策略。
• 创建 IAM 角色，该角色授予联合身份用户访问您的 Amazon Connect 实例的权限。
• 将 Amazon Connect 实例的用户属性映射到 AWS SSO 属性。
• 在 AWS SSO 中创建用户并将其分配给您的 AWS SSO 云应用程序。
• 使用 IdP 和创建的 AWS SSO 用户凭证之一登录 Amazon Connect 来测试您的设置。

重要提示：请务必在您的 Amazon Connect 实例所在的 AWS 区域执行以下步骤。

按照创建 Amazon Connect 实例中的说明进行操作。配置实例时，请确保执行以下操作：

• 为实例配置身份管理时，请选择基于 SAML 2.0 的身份验证。
• 为实例指定管理员时，请选择添加新管理员。然后，在 Amazon Connect 中提供用户账户的名称。
  注意：此用户的密码通过您的 IdP 管理。
• 为实例配置电话选项时，请接受默认选项。
• 为实例配置数据存储设置时，请接受默认选项。

按照 AWS SSO 用户指南的添加和配置云应用程序中的说明进行操作。配置云应用程序时，请确保执行以下操作：

• 选择 Amazon Connect 作为云应用程序的服务提供商。
• 在 AWS SSO 元数据下，下载 AWS SSO SAML 元数据文件和 AWS SSO 证书。
  注意：您需要这些文件才能设置 IAM IdP。如果您使用的是 AWS SSO 以外的 IdP，则必须从该 IdP 中获取 SAML 元数据文件。
• 在应用程序属性下，接受默认的中继状态。

按照创建和管理 IAM 身份提供商 (控制台) 中的说明进行操作。创建 IdP 时，请确保执行以下操作：

• 对于提供商名称，输入 ConnectSSO。
• 对于元数据文档，请选择您在上一步中下载的 AWS SSO SAML 元数据文件。

重要提示：记下 IdP 的 Amazon 资源名称 (ARN)。您需要 ARN 来将 Amazon Connect 实例的用户属性映射到 AWS SSO 属性。

使用以下 JSON 模板创建名为 Connect-SSO-Policy 的 IAM 策略。

重要提示：将 <connect instance ARN> 替换为 Amazon Connect 实例的 ARN。

有关更多信息，请参阅创建 IAM 策略和 GetFederationToken。

按照 AWS IAM 用户指南的为 SAML 创建角色中的说明进行操作。创建 IAM 角色时，请确保执行以下操作：

• 对于 SAML 提供商，请输入 Connect-SSO。
• 选择允许程序访问和 AWS 管理控制台访问。
• 对于策略，请选择您在上一步中创建的 Connect-SSO-Policy。
• 对于角色名称，请输入 Connect-SSO。

重要提示：记下 IAM 角色的 ARN。您需要 ARN 来将 Amazon Connect 实例的用户属性映射到 AWS SSO 属性。

按照将应用程序中的属性映射到 AWS SSO 属性中的说明进行操作。映射属性时，请确保添加以下属性和值：

重要提示：将 <IAM role ARN> 替换为 IAM 角色的 ARN。将 <IAM IdP ARN> 替换为 IAM IdP 的 ARN。

有关详细信息，请参阅属性映射。

按照管理 AWS SSO 中的身份的说明进行操作。

按照 AWS SSO 用户指南的如何登录用户门户中的说明进行操作。