Comment configurer l'authentification SAML 2.0 pour mon instance Amazon Connect à l'aide d'IAM Identity Center ?
Dernière mise à jour : 05-08-2021
Je souhaite configurer l'authentification SAML 2.0 pour mon instance Amazon Connect à l'aide d'IAM Identity Center d’AWS (successeur d’AWS Single Sign-On). Comment puis-je procéder ?
Brève description
Pour configurer l'authentification SAML 2.0 pour votre instance Amazon Connect, procédez comme suit :
- Créez une instance Amazon Connect qui utilise l'authentification SAML 2.0.
- Créez une application cloud IAM Identity Center pour vous connecter à votre instance Amazon Connect.
- Créez un fournisseur d'identité (IdP) AWS Identity and Access Management (IAM).
- Créez une politique IAM pour votre instance Amazon Connect qui autorise l'action GetFederationToken.
- Créez un rôle IAM qui accorde aux utilisateurs fédérés l'accès à votre instance Amazon Connect.
- Mapper les attributs utilisateur de votre instance Amazon Connect aux attributs IAM Identity Center.
- Créez des utilisateurs dans IAM Identity Center et attribuez-les à votre application cloud IAM Identity Center.
- Testez votre configuration en vous connectant à Amazon Connect à l'aide de votre IdP et de l'une des informations d'identification utilisateur IAM Identity Center que vous avez créées.
Important : veillez à suivre ces étapes dans la région AWS dans laquelle se trouve votre instance Amazon Connect.
Solution
Créer une instance Amazon Connect qui utilise l'authentification SAML 2.0
Suivez les instructions de la section Créer une instance Amazon Connect. Lorsque vous configurez l'instance, assurez-vous d'effectuer les opérations suivantes :
- Lorsque vous configurez la gestion des identités pour votre instance, choisissez l'authentification SAML 2.0.
- Lorsque vous spécifiez l'administrateur de votre instance, sélectionnez Ajouter un nouvel administrateur. Ensuite, indiquez un nom pour le compte utilisateur dans Amazon Connect.
Remarque : le mot de passe de cet utilisateur est géré via votre IdP. - Lorsque vous configurez les options de téléphonie pour votre instance, acceptez les options par défaut.
- Lorsque vous configurez les paramètres de stockage de données de votre instance, acceptez les options par défaut.
Créer une application cloud IAM Identity Center pour vous connecter à votre instance Amazon Connect
Suivez les instructions de la section Ajouter et configurer une application cloud dans le guide de l'utilisateur IAM Identity Center. Lorsque vous configurez votre application cloud, assurez-vous d'effectuer les opérations suivantes :
- Choisissez Amazon Connect comme fournisseur de services de l'application cloud.
- Sous métadonnées IAM Identity Center, téléchargez IAM Identity Center et le certificat IAM Identity Center.
Remarque : vous aurez besoin de ces fichiers pour configurer un IdP IAM. Si vous utilisez un IdP autre qu'IAM Identity Center, vous devez obtenir les fichiers de métadonnées SAML à partir de cet IdP. - Sous Propriétés de l'application, acceptez l'état Relais par défaut.
Créer un IdP IAM
Suivez les instructions de la section Création et gestion d'un IdP IAM (console). Lorsque vous créez l'IdP, assurez-vous que vous effectuez les opérations suivantes :
- Pour Provider name (Nom du fournisseur), saisissez ConnectIAM Identity Center.
- Pour le document de métadonnées, choisissez le fichier de métadonnées SAML IAM Identity Center que vous avez téléchargé à l'étape précédente.
Important : prenez note de l'Amazon Resource Name (ARN) de l'IdP. Vous en avez besoin pour mapper les attributs utilisateur de votre instance Amazon Connect aux attributs IAM Identity Center.
Créer une politique IAM pour votre instance Amazon Connect qui autorise l'action GetFederationToken
Utilisez le modèle JSON suivant pour créer une politique IAM nommée Connect-SSO-Policy.
Important : remplacez-le <connect instance ARN> par l'ARN de votre instance Amazon Connect.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": "connect:GetFederationToken",
"Resource": [
"<connect instance ARN>/user/${aws:userid}"
]
}
]
}
Pour plus d'informations, voir Création de politiques IAM et GetFederationToken.
Créer un rôle IAM qui accorde aux utilisateurs fédérés l'accès à votre instance Amazon Connect
Suivez les instructions de la section Création d'un rôle pour SAML dans le guide de l'utilisateur AWS IAM. Lorsque vous créez le rôle IAM, assurez-vous que vous effectuez les opérations suivantes :
- Pour le fournisseur SAML, entrez Connect-SSO.
- Choisissez Autoriser l'accès programmatique et la Console de gestion AWS.
- Pour Politique, choisissez la Connect-SSO-Policy que vous avez créée à l'étape précédente.
- Pour Nom du rôle, entrez Connect-SSO.
Important : notez l'ARN du rôle IAM. Vous en avez besoin pour mapper les attributs utilisateur de votre instance Amazon Connect aux attributs IAM Identity Center.
Mapper les attributs utilisateur de votre instance Amazon Connect aux attributs IAM Identity Center
Suivez les instructions de la section Mapper les attributs de votre application aux attributs IAM Identity Center. Lorsque vous mappez vos attributs, assurez-vous d'ajouter les attributs et valeurs suivants :
Important : remplacez <IAM role ARN> par l'ARN de votre rôle IAM. Remplacez <IAM IdP ARN> par l'ARN de votre IdP IAM.
Attribut | Valeur |
Sujet | ${user:email} |
https://aws.amazon.com/SAML/Attributes/RoleSessionName | ${user:email} |
https://aws.amazon.com/SAML/Attributes/Role | <IAM role ARN>, <IAM IdP ARN> |
Pour plus d'informations, voir Mappages d'attributs.
Créer des utilisateurs dans IAM Identity Center et les attribuer à votre application cloud IAM Identity Center
Suivez les instructions de la section Gérer les identités dans IAM Identity Center.
Testez votre configuration en vous connectant à Amazon Connect à l'aide de votre IdP et de l'une des informations d'identification utilisateur IAM Identity Center que vous avez créées
Suivez les instructions de la section Comment se connecter au portail utilisateur dans le guide de l'utilisateur IAM Identity Center.
Informations connexes
Cet article vous a-t-il été utile ?
Avez-vous besoin d'aide pour une question technique ou de facturation ?