如何使用 IAM Identity Center 为我的 Amazon Connect 实例设置基于 SAML 2.0 的身份验证?
上次更新日期:2021 年 8 月 5 日
我想使用 AWS IAM Identity Center(AWS Single Sign-On 的后续者)为我的 Amazon Connect 实例设置基于 SAML 2.0 的身份验证。该如何操作?
简短描述
要为您的 Amazon Connect 实例设置基于 SAML 2.0 的身份验证,请执行以下操作:
- 创建使用基于 SAML 2.0 的身份验证的 Amazon Connect 实例。
- 创建 IAM Identity Center 云应用程序以连接到您的 Amazon Connect 实例。
- 创建 AWS Identity and Access Management(IAM)身份提供者(IdP)。
- 为您的 Amazon Connect 实例创建允许 GetFederationToken 操作的 IAM 策略。
- 创建 IAM 角色,该角色授予联合用户访问您的 Amazon Connect 实例的权限。
- 将 Amazon Connect 实例的用户属性映射到 IAM Identity Center 属性。
- 在 IAM Identity Center 中创建用户并将他们分配到您的 IAM Identity Center 云应用程序。
- 使用 IdP 和创建的 IAM Identity Center 用户凭证之一登录 Amazon Connect 来测试您的设置。
重要提示:请务必在 Amazon Connect 实例所在的 AWS 区域执行以下步骤。
解决方法
创建使用基于 SAML 2.0 的身份验证的 Amazon Connect 实例
按照创建 Amazon Connect 实例中的说明进行操作。配置实例时,请确保执行以下操作:
- 为实例配置身份管理时,请选择基于 SAML 2.0 的身份验证。
- 为实例指定管理员时,请选择添加新管理员。然后,在 Amazon Connect 中提供用户账户的名称。
注意:此用户的密码通过您的 IdP 管理。 - 为实例配置电话选项时,请接受默认选项。
- 为实例配置数据存储设置时,请接受默认选项。
创建 IAM Identity Center 云应用程序以连接到您的 Amazon Connect 实例
按照 IAM Identity Center 用户指南的添加和配置云应用程序中的说明进行操作。配置云应用程序时,请确保执行以下操作:
- 选择 Amazon Connect 作为云应用程序的服务提供商。
- 在 IAM Identity Center metadata(IAM Identity Center 元数据)下,下载 IAM Identity Center 和 IAM Identity Center Certificate(IAM Identity Center 证书)。
注意:您需要这些文件才能设置 IAM IdP。如果您使用的是 IAM Identity Center 以外的 IdP,则必须从该 IdP 中获取 SAML 元数据文件。 - 在 Application properties(应用程序属性)下,接受默认的 Relay state(中继状态)。
创建 IAM IdP
按照创建和管理 IAM 身份提供商 (控制台) 中的说明进行操作。创建 IdP 时,请确保执行以下操作:
- 对于 Provider name(提供商名称),请输入 ConnectIAM Identity Center。
- 对于元数据文档,请选择您在上一步中下载的 IAM Identity Center SAML 元数据文件。
重要提示:记下 IdP 的 Amazon 资源名称 (ARN)。您需要它才能将 Amazon Connect 实例的用户属性映射到 IAM Identity Center 属性。
为您的 Amazon Connect 实例创建允许 GetFederationToken 操作的 IAM 策略
使用以下 JSON 模板创建名为 Connect-SSO-Policy 的 IAM 策略。
重要提示:将 <connect instance ARN> 替换为 Amazon Connect 实例的 ARN。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": "connect:GetFederationToken",
"Resource": [
"<connect instance ARN>/user/${aws:userid}"
]
}
]
}
有关更多信息,请参阅创建 IAM 策略和 GetFederationToken。
创建 IAM 角色,该角色授予联合身份用户访问您的 Amazon Connect 实例的权限
按照 AWS IAM 用户指南的为 SAML 创建角色中的说明进行操作。创建 IAM 角色时,请确保执行以下操作:
- 对于 SAML 提供商,请输入 Connect-SSO。
- 选择允许程序访问和 AWS 管理控制台访问。
- 对于策略,请选择您在上一步中创建的 Connect-SSO-Policy。
- 对于角色名称,请输入 Connect-SSO。
重要提示:记下 IAM 角色的 ARN。您需要它才能将 Amazon Connect 实例的用户属性映射到 IAM Identity Center 属性。
将 Amazon Connect 实例的用户属性映射到 IAM Identity Center 属性
按照将应用程序中的属性映射到 IAM Identity Center 属性中的说明进行操作。映射属性时,请确保添加以下属性和值:
重要提示:将 <IAM role ARN> 替换为 IAM 角色的 ARN。将 <IAM IdP ARN> 替换为 IAM IdP 的 ARN。
属性 | Value |
主题 | ${user:email} |
https://aws.amazon.com/SAML/Attributes/RoleSessionName | ${user:email} |
https://aws.amazon.com/SAML/Attributes/Role | <IAM 角色 ARN>,<IAM IdP ARN> |
有关详细信息,请参阅属性映射。
在 IAM Identity Center 中创建用户并将他们分配到您的 IAM Identity Center 云应用程序
按照管理 IAM Identity Center 中的身份的说明进行操作。
使用 IdP 和创建的 IAM Identity Center 用户凭证之一登录 Amazon Connect 来测试您的设置
按照 IAM Identity Center 用户指南的如何登录用户门户中的说明进行操作。