Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Planen der Identitätsverwaltung in Amazon Connect
<a name="connect-identity-management"></a>

Bevor Sie Ihre [Amazon-Connect-Instance](amazon-connect-instances.md) einrichten, sollten Sie entscheiden, wie Sie Ihre Amazon-Connect-Benutzer verwalten möchten. Ein Benutzer ist jeder, der ein Amazon Connect Connect-Konto benötigt: Agenten, Callcenter-Manager, Analysten und mehr.

**Die Option, die Sie für die Identitätsverwaltung auswählen, können Sie nach dem Erstellen einer Instance nicht mehr ändern**. Stattdessen müssen Sie die Instance löschen und einen neuen erstellen. Wenn Sie eine Instance löschen, gehen jedoch alle ihre Konfigurationseinstellungen und Metrikdaten verloren.

Wenn Sie Ihre Instance erstellen, können Sie eine der folgenden unterstützten Identitätsverwaltungslösungen zu wählen:
+ **Benutzer mit Amazon Connect speichern** – Wählen Sie diese Option, wenn Sie Benutzerkonten in Amazon Connect erstellen und verwalten möchten. 

  Wenn Sie Benutzer in Amazon Connect verwalten, sind der Benutzername und das Passwort für jeden Benutzer für Amazon Connect spezifisch. Benutzer müssen sich einen separaten Benutzernamen und ein eigenes Passwort merken, um sich bei Amazon Connect anzumelden.
+ **Link zu einem vorhandenen Verzeichnis** – Wählen Sie diese Option, um ein vorhandenes Active Directory zu verwenden. Benutzer melden sich bei Amazon Connect mit ihren Unternehmensanmeldeinformationen an.

  Wenn Sie diese Option wählen, muss das Verzeichnis mit Ihrem Konto verknüpft Directory Service, in derselben Region eingerichtet und dort aktiv sein, in der Sie Ihre Instance erstellen. Wenn Sie diese Option wählen möchten, sollten Sie Ihr Verzeichnis vorbereiten, bevor Sie Ihre Amazon-Connect-Instance erstellen. Weitere Informationen finden Sie unter [Verwenden eines vorhandenen Verzeichnisses für die Identitätsverwaltung in Amazon Connect](directory-service.md).
+ **SAML 2.0-basierte Authentifizierung** – Wählen Sie diese Option, wenn Sie Ihren bestehenden Netzwerk-Identitätsanbieter verwenden möchten, um Benutzer mit Amazon Connect zu verbinden. Benutzer können sich bei Amazon Connect nur über den Link anmelden, der von Ihrem Identitätsanbieter konfiguriert wurde. Wenn Sie diese Option wählen möchten, sollten Sie Ihre Umgebung für SAML konfigurieren, bevor Sie Ihre Amazon-Connect-Instance erstellen. Weitere Informationen finden Sie unter [SAML mit IAM für Amazon Connect konfigurieren](configure-saml.md).

# Verwenden eines vorhandenen Verzeichnisses für die Identitätsverwaltung in Amazon Connect
<a name="directory-service"></a>

Wenn Sie bereits ein Directory Service Verzeichnis zur Verwaltung von Benutzern verwenden, können Sie dasselbe Verzeichnis zur Verwaltung von Benutzerkonten in Amazon Connect verwenden. Sie können auch ein neues Verzeichnis erstellen, das Directory Service Sie für Amazon Connect verwenden können. Das von Ihnen gewählte Verzeichnis muss mit Ihrem AWS Konto verknüpft sein und in der AWS Region aktiv sein, in der Sie Ihre Instance erstellen. Sie können ein Directory Service -Verzeichnis jeweils nur einer Amazon-Connect-Instance gleichzeitig zuordnen. Um das Verzeichnis mit einer anderen Instance zu verwenden, müssen Sie die Instance löschen, mit der es bereits verknüpft wurde.

Die folgenden Directory Service Verzeichnisse werden in Amazon Connect unterstützt:
+ [Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) —Directory Service ermöglicht es Ihnen, Microsoft Active Directory als verwalteten Dienst auszuführen.
+ [Active Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) – AD Connector ist ein Verzeichnisgateway, mit dem Sie Verzeichnisanfragen an Ihr lokales Microsoft Active Directory umleiten können. 
+ [Simple Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_simple_ad.html)–Simple AD ist ein eigenständig verwaltetes Verzeichnis auf einem Samba 4 Active Directory kompatiblen Server.

Sie können die ausgewählte Identitätsoption nach dem Erstellen der Instance nicht mehr ändern. Wenn Sie sich entscheiden, das von Ihnen ausgewählte Verzeichnis zu ändern, können Sie die Instance löschen und eine neue erstellen. Wenn Sie eine Instance löschen, gehen alle ihre Konfigurationseinstellungen und Metrikdaten verloren.

Es fallen keine zusätzlichen Kosten für die Nutzung eines vorhandenen oder proprietären Verzeichnisses in Amazon Connect an. Informationen zu den mit der Nutzung Directory Service verbundenen Kosten finden Sie unter [Directory Service Preisübersicht](https://aws.amazon.com/directoryservice/pricing/).

Die folgenden Einschränkungen gelten für alle neuen Verzeichnisse, die mittels Directory Service erstellt werden:
+ Verzeichnisse dürfen nur alphanumerische Namen haben. Es kann nur das Zeichen '.' verwendet werden.
+ Die Verknüpfung von Verzeichnissen zu einer Amazon-Connect-Instance kann nicht aufgehoben werden, nachdem sie verknüpft wurden.
+ Einer Amazon-Connect-Instance kann nur ein Verzeichnis hinzugefügt werden.
+ Verzeichnisse können nicht über mehrere Amazon-Connect-Instances hinweg freigegeben werden.

# SAML mit IAM für Amazon Connect konfigurieren
<a name="configure-saml"></a>

Amazon Connect unterstützt den Identitätsverbund, indem Security Assertion Markup Language (SAML) 2.0 mit AWS IAM konfiguriert wird, um webbasiertes Single Sign-On (SSO) von Ihrem Unternehmen zu Ihrer Amazon Connect Connect-Instance zu ermöglichen. Auf diese Weise können sich Ihre Benutzer bei einem Portal in Ihrer Organisation anmelden, das von einem SAML 2.0-kompatiblen Identitätsanbieter (IdP) gehostet wird, und sich mit einem Single-Sign-On-Erlebnis bei einer Amazon-Connect-Instance anmelden, ohne separate Anmeldeinformationen für Amazon Connect angeben zu müssen.

## Wichtige Hinweise
<a name="saml-important-notes"></a>

Bevor Sie beginnen, beachten Sie Folgendes:
+ Diese Anweisungen gelten nicht für Amazon Connect Global Resiliency-Bereitstellungen. Informationen zu Amazon Connect Global Resiliency finden Sie unter[Integrieren Ihres Identitätsanbieters (IdP) in einen SAML-Anmeldeendpunkt von Amazon Connect Global Resiliency](integrate-idp.md).
+ [Die Auswahl der SAML 2.0-basierten Authentifizierung als Identitätsverwaltungsmethode für Ihre Amazon Connect Connect-Instance erfordert die Konfiguration eines AWS Identity and Access Management Verbunds.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) 
+ Der Benutzername in Amazon Connect muss mit dem RoleSessionName SAML-Attribut übereinstimmen, das in der vom Identitätsanbieter zurückgegebenen SAML-Antwort angegeben ist.
+ Amazon Connect unterstützt Reverse Federation nicht. Das heißt, Sie können sich nicht direkt anmelden Amazon Connect. Wenn Sie es versuchen würden, würden Sie die Meldung „*Sitzung abgelaufen*“ erhalten. Die Authentifizierung sollte vom Identity Provider (IdP) und nicht vom Service Provider (SP) (Amazon Connect) aus erfolgen. 
+ Die meisten Identitätsanbieter verwenden standardmäßig den globalen AWS Anmeldeendpunkt als Application Consumer Service (ACS), der im Osten der USA (Nord-Virginia) gehostet wird. Wir empfehlen, diesen Wert zu überschreiben, um den regionalen Endpunkt zu verwenden, der dem Ort entspricht, AWS-Region an dem Ihre Instance erstellt wurde. 
+ Bei allen Amazon Connect Benutzernamen wird zwischen Groß- und Kleinschreibung unterschieden, auch wenn SAML verwendet wird.
+ Wenn Sie alte Amazon Connect Connect-Instances haben, die mit SAML eingerichtet wurden und Sie Ihre Amazon Connect Connect-Domain aktualisieren müssen, finden Sie weitere Informationen unter[Persönliche Einstellungen](update-your-connect-domain.md#new-domain-settings). 

## Überblick über die Verwendung von SAML mit Amazon Connect
<a name="saml-overview"></a>

Das folgende Diagramm zeigt die Reihenfolge der Schritte bei SAML-Anforderungen zur Authentifizierung von Benutzern und für den Verbund mit Amazon Connect. Es ist kein Flussdiagramm für ein Bedrohungsmodell. 

![\[Übersicht über den AnfrageFlow für SAML-Authentifizierungsanfragen bei Amazon Connect.\]](http://docs.aws.amazon.com/de_de/connect/latest/adminguide/images/saml-overview.png)


SAML-Anfragen durchlaufen folgende Schritte:

1. Der Benutzer navigiert zu einem internen Portal, das einen Link für die Anmeldung bei Amazon Connect enthält. Der Link ist im Identitätsanbieter definiert.

1. Der Verbundservice fordert die Authentifizierung vom Identitätsspeicher der Organisation an.

1. Der Identitätsspeicher authentifiziert den Benutzer und gibt die Authentifizierungsantwort an den Verbundservice zurück.

1. Bei einer erfolgreichen Authentifizierung sendet der Verbundservice die SAML-Zusicherung an den Browser des Benutzers.

1. Der Browser des Benutzers sendet die SAML-Assertion an den AWS SAML-Anmelde-Endpunkt (/saml). https://signin.aws.amazon.com AWS sign in empfängt die SAML-Anfrage, verarbeitet die Anfrage, authentifiziert den Benutzer und initiiert eine Browserumleitung zum Amazon Connect Connect-Endpunkt mit dem Authentifizierungstoken.

1. Mit dem AWS Authentifizierungstoken von autorisiert Amazon Connect den Benutzer und öffnet Amazon Connect in seinem Browser.

## Aktivieren der SAML-basierten Authentifizierung für Amazon Connect
<a name="enable-saml"></a>

Die folgenden Schritte sind erforderlich, um die SAML-Authentifizierung für die Verwendung mit Ihrer Amazon-Connect-Instance zu aktivieren und zu konfigurieren:

1. Erstellen Sie eine Amazon-Connect-Instance und wählen Sie SAML-2.0-basierte Authentifizierung für die Identitätsverwaltung aus.

1. Aktivieren Sie den SAML-Verbund zwischen Ihrem Identitätsanbieter und. AWS

1. Fügen Sie Amazon Connect Connect-Benutzer zu Ihrer Amazon Connect Connect-Instance hinzu. Melden Sie sich bei Ihrer Instance mit dem Administratorkonto an, das Sie bei der Erstellung der Instance angelegt haben. Wechseln Sie zur Seite **User Management (Benutzermanagement)** und fügen Sie Benutzer hinzu. 
**Wichtig**  
**Eine Liste der zulässigen Zeichen in Benutzernamen** finden Sie in der Dokumentation für die `Username` Eigenschaft in der [CreateUser](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html)Aktion. 
 Aufgrund der Zuordnung eines Amazon Connect Connect-Benutzers und einer AWS IAM-Rolle muss der Benutzername genau dem entsprechen, der RoleSessionName mit Ihrer AWS IAM-Verbundintegration konfiguriert wurde, was in der Regel der Benutzername in Ihrem Verzeichnis ist. Das Format des Benutzernamens sollte dem Schnittpunkt der Formatbedingungen des [RoleSessionName](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)und eines [Amazon Connect Connect-Benutzers](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html#connect-CreateUser-request-DirectoryUserId) entsprechen, wie in der folgenden Abbildung dargestellt:  

![\[Ven-Diagramm von rolesessionname und Amazon Connect Connect-Benutzer.\]](http://docs.aws.amazon.com/de_de/connect/latest/adminguide/images/saml-ven-diagram.png)


1. Konfigurieren Sie Ihren Identitätsanbieter für die SAML-Zusicherungen, die Authentifizierungsantwort und den RelayState. Die Benutzer melden sich bei Ihrem Identitätsanbieter an. Wenn sie sich erfolgreich angemeldet haben, werden sie zu Ihrer Amazon-Connect-Instance umgeleitet. Die IAM-Rolle wird für die Verbindung mit verwendet AWS, wodurch der Zugriff auf Amazon Connect ermöglicht wird.

## Auswahl der SAML-2.0-basierten Authentifizierung bei der Instance-Erstellung
<a name="create-saml-instance"></a>

Wenn Sie Ihre Amazon-Connect-Instance erstellen, wählen Sie die SAML-2.0-basierte Authentifizierungsoption für die Identitätsverwaltung aus. Im zweiten Schritt, wenn Sie den Administrator für die Instance anlegen, muss der von Ihnen angegebene Benutzername genau mit einem Benutzernamen in Ihrem bestehenden Netzwerkverzeichnis übereinstimmen. Es gibt keine Option, ein Passwort für den Administrator anzugeben, da die Passwörter über Ihr bestehendes Verzeichnis verwaltet werden. Der Administrator wird in Amazon Connect angelegt und dem Sicherheitsprofil des **Admin** (Administrators) zugewiesen.

Sie können sich bei Ihrer Amazon-Connect-Instance über Ihren Identitätsanbieter mit dem Administratorkonto anmelden, um weitere Benutzer hinzuzufügen.

## Aktivieren Sie den SAML-Verbund zwischen Ihrem Identitätsanbieter und AWS
<a name="enable-saml-federation"></a>

Um die SAML-basierte Authentifizierung für Amazon Connect zu aktivieren, müssen Sie in der -Konsole einen Identitätsanbieter anlegen. Weitere Informationen finden Sie unter [Aktivieren des Zugriffs auf die Managementkonsole für SAML 2.0-Verbundbenutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html). AWS 

Der Vorgang zum Erstellen eines Identitätsanbieters für AWS ist für Amazon Connect derselbe. Schritt 6 zeigt im vorherigen Flowdiagramm, wie der Client an Ihre Amazon-Connect-Instance und nicht an die AWS-Managementkonsole gesendet wird.

Zu den erforderlichen Schritten, um den SAML-Verbund mit zu aktivieren, AWS gehören:

1. Erstellen Sie einen SAML-Anbieter in. AWS Weitere Informationen finden Sie unter [SAML-Identitätsanbieter anlegen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html).

1. Erstellen Sie eine -Rolle für den SAML 2.0-Verbund mit der AWS-Managementkonsole. Legen Sie nur eine Rolle für den Verbund an (es wird nur eine Rolle benötigt und für den Verbund verwendet). Die IAM-Rolle bestimmt, welche Berechtigungen die Benutzer, die sich über Ihren Identitätsanbieter anmelden, in AWS haben. In diesem Fall sind dies die Berechtigungen für den Zugriff auf Amazon Connect Sie können die Berechtigungen für Amazon-Connect-Features steuern, indem Sie in Amazon Connect Sicherheitsprofile verwenden. Weitere Informationen finden Sie unter [Anlegen einer Rolle für den SAML 2.0-Verbund (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html).

   Wählen Sie in Schritt 5 die Option **Programmatischen Zugriff und Zugriff auf die AWS Managementkonsole zulassen** aus. Erstellen Sie die Vertrauensrichtlinie wie im Thema mit der Anleitung *So erstellen Sie eine Rolle für den SAML 2.0-Verbund* beschrieben. Erstellen Sie dann eine Richtlinie, um Berechtigungen zu Ihrer Amazon-Connect-Instance zuzuweisen. Die Berechtigungen beginnen mit Schritt 9 der Anleitung *So erstellen Sie eine Rolle für den SAML-basierten Verbund*.

**So erstellen Sie für den SAML-Verbund eine Richtlinie zur Zuweisung von Berechtigungen an die IAM-Rolle**

   1. Wählen Sie auf der Seite **Attach permissions policy (Berechtigungsrichtlinie anfügen)** **Create policy (Richtlinie erstellen)** aus.

   1. Wählen Sie auf der Seite **Create policy** (Richtlinie erstellen) die Option **JSON** aus.

   1. Kopieren Sie eine der folgenden Beispielrichtlinien und fügen Sie sie in den JSON-Richtlinieneditor ein, indem Sie einen vorhandenen Text ersetzen. Sie können entweder eine Richtlinie verwenden, um den SAML-Verbund zu aktivieren, oder diese an Ihre spezifischen Anforderungen anpassen.

      Verwenden Sie diese Richtlinie, um den Verbund für alle Benutzer einer bestimmten Amazon-Connect-Instance zu aktivieren. Ersetzen Sie bei SAML-basierter Authentifizierung den Wert für die `Resource` durch den ARN für die von Ihnen erstellte Instance:

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
         "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": "connect:GetFederationToken",
                  "Resource": [
                      "arn:aws:connect:us-east-1:361814831152:instance/2fb42df9-78a2-2e74-d572-c8af67ed289b/user/${aws:userid}"
                  ]
              }
          ]
      }
      ```

------

      Verwenden Sie diese Richtlinie, um den Verbund für eine bestimmte Amazon-Connect-Instance zu aktivieren. Ersetzen Sie den Wert für die `connect:InstanceId` durch die Instance-ID Ihrer Instance.

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Sid": "Statement2",
                  "Effect": "Allow",
                  "Action": "connect:GetFederationToken",
                  "Resource": "*",
                  "Condition": {
                      "StringEquals": {
                          "connect:InstanceId": "2fb42df9-78a2-2e74-d572-c8af67ed289b"
                      }
                  }
              }
          ]
      }
      ```

------

      Verwenden Sie diese Richtlinie, um den Verbund für eine bestimmte mehrere Instances zu aktivieren. Beachten Sie die Klammern um die aufgelistete Instanz IDs.

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Sid": "Statement2",
                  "Effect": "Allow",
                  "Action": "connect:GetFederationToken",
                  "Resource": "*",
                  "Condition": {
                      "StringEquals": {
                          "connect:InstanceId": [
                          "2fb42df9-78a2-2e74-d572-c8af67ed289b", 
                          "1234567-78a2-2e74-d572-c8af67ed289b"]
                      }
                  }
              }
          ]
      }
      ```

------

   1. Nachdem Sie die Richtlinie erstellt haben, wählen Sie **Next: Review (Weiter: Prüfen)** aus. Kehren Sie dann im Thema *Erstellen einer Rolle für den SAML 2.0-Verbund* (Konsole) zu Schritt 10 in der Anleitung [So erstellen Sie eine Rolle für den SAML-basierten Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html) zurück.

1. Konfigurieren des Netzwerks als SAML-Anbieter für AWS. Weitere Informationen finden Sie unter [Aktivieren des Zugriffs auf die AWS Managementkonsole für SAML 2.0-Verbundbenutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html).

1. Konfigurieren von SAML-Zusicherungen für die Authentifizierungsantwort. Weitere Informationen finden Sie unter [Konfigurieren von SAML-Zusicherungen für die Authentifizierungsantwort](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html).

1. Lassen Sie für Amazon Connect die **Start-URL der Anwendung** leer.

1. Überschreiben Sie die URL des Application Consumer Service (ACS) in Ihrem Identitätsanbieter, um den regionalen Endpunkt zu verwenden, AWS-Region der mit dem Ihrer Amazon Connect Connect-Instance übereinstimmt. Weitere Informationen finden Sie unter [Konfigurieren Sie den Identitätsanbieter für die Verwendung regionaler SAML-Endpunkte](#regionally-isolated-saml). 

1. Konfigurieren Sie den RelayState Ihres Identitätsanbieters, um auf Ihre Amazon-Connect-Instance zu verweisen. Die für den RelayState zu verwendende URL setzt sich wie folgt zusammen:

   `https://region-id.console.aws.amazon.com/connect/federate/instance-id`

   Ersetzen Sie das *region-id* durch den Namen der Region, in der Sie Ihre Amazon Connect Connect-Instance erstellt haben, z. B. us-east-1 für US East (Nord-Virginia). Ersetzen Sie das *instance-id* durch die Instance-ID für Ihre Instance.

   Für eine GovCloud Instanz lautet die URL **https://console.amazonaws-us-gov.com/**: 
   + https://console.amazonaws-us-gov.com/connect/federate/instance-id
**Anmerkung**  
Die Instance-ID für Ihre Instance finden Sie, indem Sie den Instance-Alias in der Amazon-Connect-Konsole wählen. Die Instance-ID besteht aus Zahlen und Buchstaben nach „/instance“ im **Instance-ARN**, der auf der **Übersichtsseite** angezeigt wird. Die Instance-ID im folgenden Instance-ARN ist beispielsweise *178c75e4-b3de-4839-a6aa-e321ab3f3770*.  
arn:aws:connect:us-east-1:450725743157:instance/*178c75e4-b3de-4839-a6aa-e321ab3f3770*

## Konfigurieren Sie den Identitätsanbieter für die Verwendung regionaler SAML-Endpunkte
<a name="regionally-isolated-saml"></a>

Um die beste Verfügbarkeit zu gewährleisten, empfehlen wir, anstelle des globalen Standardendpunkts den regionalen SAML-Endpunkt zu verwenden, der mit Ihrer Amazon Connect Connect-Instance übereinstimmt.

Die folgenden Schritte sind IdP-unabhängig; sie funktionieren für jeden SAML-IdP (z. B. Okta, Ping, Shibboleth, ADFS OneLogin, AzureAD und mehr).

1. Aktualisieren (oder überschreiben) Sie die Assertionsverbraucherdienst-URL. Es gibt zwei Möglichkeiten, dies zu realisieren.
   + **Option 1**: Laden Sie die AWS SAML-Metadaten herunter und aktualisieren Sie das Attribut auf die Region Ihrer Wahl. `Location` Laden Sie diese neue Version der AWS SAML-Metadaten in Ihren IdP. 

     Im Folgenden sehen Sie ein Beispiel einer Revision:

      `<AssertionConsumerService index="1" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://region-id.signin.aws.amazon.com/saml"/>`
   + **Option 2**: Überschreiben Sie die AssertionConsumerService (ACS) -URL in Ihrem IdP. IdPs Wie bei Okta, die vorgefertigte AWS Integrationen anbieten, können Sie die ACS-URL in der Admin-Konsole überschreiben. AWS Verwenden Sie dasselbe Format, um zu einer Region Ihrer Wahl zu wechseln (z. B. https://*region-id*.signin.aws.amazon.com/saml).

1. Aktualisieren Sie die zugehörige Vertrauensrichtlinie für eine Rolle:

   1. Dieser Schritt muss für jede Rolle in jedem Konto ausgeführt werden, das dem angegebenen Identitätsanbieter vertraut.

   1. Bearbeiten Sie die Vertrauensstellung und ersetzen Sie die singuläre `SAML:aud`-Bedingung durch eine mehrwertige Bedingung. Beispiel:
      + Standard: "„:" /saml“. `SAML:aud` https://signin.aws.amazon.com 
      + Mit Änderungen: "`SAML:aud`„: ["https://signin.aws.amazon.com/saml", "https://*region-id*.signin.aws.amazon.com/saml „]

   1. Nehmen Sie diese Änderungen an den Vertrauensbeziehungen im Voraus vor. Sie sollten nicht im Rahmen eines Plans während eines Vorfalls durchgeführt werden.

1. Konfigurieren Sie einen Relay-Status für die regionsspezifische Konsolenseite.

   1. Wenn Sie diesen letzten Schritt nicht ausführen, gibt es keine Garantie dafür, dass der Benutzer durch den regionsspezifischen SAML-Anmeldevorgang zur Konsolen-Anmeldeseite in derselben Region weitergeleitet wird. Dieser Schritt ist je nach Identitätsanbieter sehr unterschiedlich, es gibt jedoch Blogs (z. B. [How to Use SAML to Automatic Direct Federated Users to a Specific AWS Management Console Page](https://aws.amazon.com/blogs//security/how-to-use-saml-to-automatically-direct-federated-users-to-a-specific-aws-management-console-page/)), in denen die Verwendung des Relay-Status zur Herstellung von Deep Linking beschrieben wird.

   1. Verwenden Sie den für Ihren IdP technique/parameters passenden Relay-Status und setzen Sie den Relay-Status auf den entsprechenden Konsolenendpunkt (z. B. https://*region-id*.console.aws.amazon). com/connect/federate/). *instance-id*

**Anmerkung**  
Stellen Sie sicher, dass STS in Ihren zusätzlichen Regionen nicht deaktiviert ist.
Stellen Sie sicher, SCPs dass keine STS-Aktionen in Ihren zusätzlichen Regionen verhindert werden.

## Verwenden eines Ziels in Ihrer RelayState-URL.
<a name="destination-relay"></a>

Wenn Sie den RelayState für Ihren Identitätsanbieter konfigurieren, können Sie das Argument "destination" in der URL verwenden, um Benutzer zu einer bestimmten Seite in Ihrer Amazon-Connect-Instance zu leiten. Verwenden Sie z. B. einen Link zum Öffnen des CCP direkt beim Anmelden eines Kundendienstmitarbeiters. Dem Benutzer muss ein Sicherheitsprofil zugewiesen werden, das den Zugriff auf diese Seite in der Instance ermöglicht. Wenn Sie beispielsweise Kundendienstmitarbeiter zum CCP schicken möchten, können Sie eine ähnliche URL wie die folgende für den RelayState verwenden. Sie müssen die [URL-Verschlüsselung](https://en.wikipedia.org/wiki/Percent-encoding) für den in der URL verwendeten Zielwert verwenden:
+ `https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true`

Ein anderes Beispiel für eine gültige URL ist:
+ `https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fagent-app-v2`

Für eine GovCloud Instanz lautet die URL **https://console.amazonaws-us-gov.com/**. Die Adresse wäre also: 
+ `https://console.amazonaws-us-gov.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true`

Wenn Sie das Zielargument für eine URL außerhalb der Amazon Connect Connect-Instance konfigurieren möchten, z. B. für Ihre eigene benutzerdefinierte Website, fügen Sie diese externe Domain zunächst zu den genehmigten Ursprüngen des Kontos hinzu. Führen Sie z. B. die folgenden Schritte aus: 

1. Fügen Sie in der Amazon Connect Connect-Konsole https://*your-custom-website*.com zu Ihren genehmigten Ursprüngen hinzu. Detaillierte Anweisungen finden Sie unter [Verwenden einer Zulassungsliste für integrierte Anwendungen in Amazon Connect](app-integration.md). 

1. Konfigurieren Sie den RelayState Ihres Identitätsanbieters auf ` https://your-region.console.aws.amazon.com/connect/federate/instance-id?destination=https%3A%2F%2Fyour-custom-website.com`

1. Wenn sich Ihre Agenten anmelden, werden sie direkt zu https://*your-custom-website*.com weitergeleitet.

## Stellen Sie eine Verbindung zu Ihrer Amazon-Connect-Instance her.
<a name="saml-add-users"></a>

Fügen Sie Benutzer zu Ihrer Connect-Instance hinzu und stellen Sie sicher, dass die Benutzernamen genau mit den Benutzernamen in Ihrem bestehenden Verzeichnis übereinstimmen. Wenn die Namen nicht übereinstimmen, können sich Benutzer beim Identitätsanbieter anmelden, aber nicht bei Amazon Connect, weil in Amazon Connect kein Benutzerkonto mit diesem Benutzernamen existiert. Sie können Benutzer auf der Seite **User management (Benutzermanagement)** manuell hinzufügen oder mit der CSV-Vorlage viele Benutzer gleichzeitig hochladen. Nachdem Sie die Benutzer in Amazon Connect hochgeladen haben, können Sie ihnen Sicherheitsprofile und andere Einstellungen zuweisen.

Wenn sich ein Benutzer beim Identitätsanbieter anmeldet, jedoch kein Konto mit demselben Benutzernamen in Amazon Connect gefunden wird, wird die folgende Meldung **Access denied** (Zugriff verweigert) angezeigt.

![\[Fehler „Zugriff verweigert“ für einen Benutzer, dessen Name in Amazon Connect nicht vorhanden ist.\]](http://docs.aws.amazon.com/de_de/connect/latest/adminguide/images/saml-access-denied.png)

<a name="bulk-user-upload"></a>
**Hochladen von mehreren Benutzern mit der Vorlage**  
Sie können Ihre Benutzer importieren, indem Sie sie zu einer CSV-Datei hinzufügen. Anschließend können Sie die CSV-Datei in Ihre Instance importieren, die alle Benutzer in der Datei hinzufügt. Wenn Sie Benutzer durch Hochladen einer CSV-Datei hinzufügen, stellen Sie sicher, dass Sie die Vorlage für SAML-Benutzer verwenden. Sie finden sie auf der Seite **User Management** (Benutzermanagement) in Amazon Connect. Für die SAML-basierte Authentifizierung wird eine andere Vorlage verwendet. Wenn Sie zuvor die Vorlage heruntergeladen haben, sollten Sie nach dem Einrichten Ihrer Instance mit der SAML-basierten Authentifizierung die auf der Seite **User management (Benutzermanagement)** verfügbare Version herunterladen. Die Vorlage sollte keine Spalte für E-Mail oder Passwort enthalten.

## SAML-Benutzeranmeldung und Sitzungsdauer
<a name="user-sessions"></a>

Wenn Sie in Amazon Connect SAML verwenden, müssen sich die Benutzer bei Amazon Connect über Ihren Identitätsanbieter (IdP) anmelden. Ihr IdP ist für die Integration mit AWS konfiguriert. Nach der Authentifizierung wird für die Sitzung ein Token erstellt. Der Benutzer wird dann an Ihre Amazon-Connect-Instance umgeleitet und automatisch bei über Single Sign-On angemeldet.

Als Methode hat sich auch bewährt, ein Verfahren festzulegen, bei dem sich Ihre -Benutzer nach Beendigung der Amazon-Connect-Nutzung abmelden können. Sie sollten sich sowohl bei Amazon Connect als auch von bei Ihrem Identitätsanbieter abmelden. Andernfalls kann sich die nächste Person, die sich am gleichen Computer anmeldet, ohne Passwort bei Amazon Connect anmelden, da der Token für die vorherigen Sitzungen für die Dauer der Sitzung weiterhin gültig ist. Es ist 12 Stunden gültig.
<a name="session-expire"></a>
**Erläuterungen zum SitzungsFlow**  
Amazon-Connect-Sitzungen laufen 12 Stunden nach der Anmeldung eines Benutzers ab. Nach 12 Stunden werden die Benutzer automatisch abgemeldet, auch wenn sie gerade telefonieren. Wenn Ihre Kundendienstmitarbeiter mehr als 12 Stunden angemeldet bleiben, müssen sie den Sitzungs-Token aktualisieren, bevor er abläuft. Um eine neue Sitzung zu erstellen, müssen sich die Kundendienstmitarbeiter von Amazon Connect und Ihrem Identitätsanbieter abmelden und sich erneut anmelden. Dadurch wird der auf dem Token eingestellte Sitzungs-Timer zurückgesetzt, sodass Kundendienstmitarbeiter bei einem aktiven Kontakt mit einem Kunden nicht abgemeldet werden. Läuft eine Sitzung ab, während ein Benutzer angemeldet ist, wird die folgende Meldung angezeigt. Um Amazon Connect erneut zu verwenden, muss sich der Benutzer bei Ihrem Identitätsanbieter anmelden.

![\[Fehlermeldung, die angezeigt wird, wenn die Sitzung für einen SAML-basierten Benutzer abläuft.\]](http://docs.aws.amazon.com/de_de/connect/latest/adminguide/images/saml-session-expired.png)


**Anmerkung**  
Wenn Sie bei der Anmeldung die Meldung **Sitzung abgelaufen** sehen, müssen Sie wahrscheinlich nur das Sitzungstoken aktualisieren. Gehen Sie zu Ihrem Identitätsanbieter und melden Sie sich an. Aktualisieren Sie die Amazon-Connect-Seite. Wenn Sie diese Nachricht weiterhin erhalten, wenden Sie sich an Ihr IT-Team.

# Problembehebung bei SAML mit Amazon Connect
<a name="troubleshoot-saml"></a>

In diesem Artikel wird erläutert, wie Sie einige der häufigsten Probleme erkennen und beheben können, die sich Kunden bei der Verwendung von SAML mit Amazon Connect stellen.

Wenn Sie Probleme bei der Integration mit anderen Identitätsanbietern wie Okta, PingIdentify Azure AD und anderen beheben, finden Sie weitere Informationen im [Amazon Connect SSO Setup Workshop](https://catalog.workshops.aws/workshops/33e6d0e7-f927-4531-abb1-f28a86ba0872/en-US). 

## Fehlermeldung: Zugriff verweigert. Ihr Konto wurde authentifiziert, wurde jedoch nicht in diese Anwendung eingebaut.
<a name="troubleshoot-saml-access-denied"></a>

![\[Die Fehlermeldung: Zugriff verweigert.\]](http://docs.aws.amazon.com/de_de/connect/latest/adminguide/images/saml-troubleshooting-access-denied.png)


### Was bedeutet das?
<a name="troubleshoot-saml-access-denied-what"></a>

Dieser Fehler bedeutet, dass sich der Benutzer erfolgreich über SAML beim AWS -SAML-Anmelde-Endpunkt authentifiziert hat. Der Benutzer konnte sich jedoch nicht in Amazon Connect matched/found befinden. Dies weist normalerweise auf einen der folgenden Punkte hin: 
+ Der Benutzername in Amazon Connect stimmt nicht mit dem `RoleSessionName`-SAML-Attribut überein, das in der vom Identitätsanbieter zurückgegebenen SAML-Antwort angegeben ist.
+ Der Benutzer existiert nicht in Amazon Connect.
+ Dem Benutzer wurden zwei separate Profile mit SSO zugewiesen.

### Auflösung
<a name="troubleshoot-saml-access-denied-resolution"></a>

Gehen Sie wie folgt vor, um das RoleSessionName SAML-Attribut zu überprüfen, das in der vom Identitätsanbieter zurückgegebenen SAML-Antwort angegeben ist, und rufen Sie es dann ab und vergleichen Sie es mit dem Anmeldenamen in Amazon Connect. 

1. Führen Sie eine HAR-Erfassung (**HTTP** **AR-Chip**) für den Anmeldevorgang durch. end-to-end Dadurch werden die Netzwerkanforderungen von der Browserseite erfasst. Speichern Sie die HAR-Datei mit Ihrem bevorzugten Dateinamen, z. B. **saml.har**. 

   Anweisungen finden Sie unter [Wie erstelle ich in meinem Browser eine HAR-Datei für einen AWS Support-Fall?](https://aws.amazon.com/premiumsupport/knowledge-center/support-case-browser-har-file/) 

1. Verwenden Sie einen Texteditor, um die SAMLResponse in der HAR-Datei zu finden. Oder führen Sie die folgenden Befehle aus:

   `$ grep -o "SAMLResponse=.*&" azuresaml.har | sed -E 's/SAMLResponse=(.*)&/\1/' > samlresponse.txt`
   + Dadurch wird SAMLresponse in der HAR-Datei nach dem gesucht und es in der Datei **samlresponse.txt** gespeichert.
   + Die Antwort ist URL-kodiert und der Inhalt ist Base64-kodiert.

1. Dekodieren Sie die URL-Antwort und dekodieren Sie dann den Base64-Inhalt mit einem Drittanbieter-Tool oder einem einfachen Skript. Beispiel:

   `$ cat samlresponse.txt | python3 -c "import sys; from urllib.parse import unquote; print(unquote(sys.stdin.read()));" | base64 --decode > samlresponsedecoded.txt`

   Dieses Skript verwendet einen einfachen Python-Befehl, um das SAMLResponse aus dem ursprünglichen URL-kodierten Format zu dekodieren. Dann dekodiert es die Antwort von Base64 und gibt die SAML-Antwort im Nur-Text-Format aus.

1. Überprüfen Sie die dekodierte Antwort auf das benötigte Attribut. Die folgende Abbildung zeigt beispielsweise, wie Sie `RoleSessionName` überprüfen:  
![\[Der Befehl „grep“ zur Überprüfung des Rolesessionnamens.\]](http://docs.aws.amazon.com/de_de/connect/latest/adminguide/images/saml-troubleshooting-rolesessionname.png)

1. Überprüfen Sie, ob der aus dem vorherigen Schritt zurückgegebene Benutzername als Benutzer in Ihrer Amazon-Connect-Instance vorhanden ist:

   \$1 aws connect list-users --instance-id [INSTANCE\$1ID] \$1 grep \$1username
   + Wenn das abschließende grep kein Ergebnis zurückgibt, bedeutet dies, dass der Benutzer in Ihrer Amazon-Connect-Instance nicht vorhanden ist oder mit anderer Groß-/Kleinschreibung erstellt wurde.
   + Wenn Ihre Amazon Connect Connect-Instance viele Benutzer hat, kann die Antwort des ListUsers API-Aufrufs paginiert sein. Verwenden Sie das von der API zurückgegebene `NextToken`, um die restlichen Benutzer abzurufen. Weitere Informationen finden Sie unter [ListUsers](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListUsers.html).

### Beispiel für SAML-Antwort
<a name="example-samlresponse"></a>

Es folgt eine Abbildung aus einer SAML-Beispielantwort. In diesem Fall ist der Identitätsanbieter (IdP) Azure Active Directory (Azure AD).

![\[Beispiel für SAML-Antwort\]](http://docs.aws.amazon.com/de_de/connect/latest/adminguide/images/saml-troubleshooting-saml-response.png)


## Fehlermeldung: Zugriff verweigert. Bitte wenden Sie sich an Ihren AWS Kontoadministrator, um Unterstützung zu erhalten.
<a name="troubleshoot-saml-contact-admin"></a>

![\[Fehlermeldung: Zugriff verweigert.\]](http://docs.aws.amazon.com/de_de/connect/latest/adminguide/images/saml-troubleshooting-access-denied-admin.png)


### Was bedeutet das?
<a name="troubleshoot-saml-bad-request-what"></a>

Die Rolle, die der Benutzer angenommen hat, wurde erfolgreich über SAML authentifiziert. Die Rolle ist jedoch nicht berechtigt, die GetFederationToken API für Amazon Connect aufzurufen. Dieser Aufruf ist erforderlich, damit sich der Benutzer mit SAML bei Ihrer Amazon-Connect-Instance anmelden kann.

### Auflösung
<a name="troubleshoot-saml-bad-request-resolution"></a>

1. Hängen Sie eine Richtlinie mit den Berechtigungen für `connect:GetFederationToken` an die in der Fehlermeldung gefundene Rolle an. Im Folgenden finden Sie eine Beispielrichtlinie:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Statement1",
               "Effect": "Allow",
               "Action": "connect:GetFederationToken",
               "Resource": [
                   "arn:aws:connect:ap-southeast-2:111122223333:instance/aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee/user/${aws:userid}"
               ]
           }
       ]
   }
   ```

------

1. Verwenden Sie die IAM-Konsole, um die Richtlinie anzuhängen. Oder verwenden Sie die attach-role-policy API, zum Beispiel:

   `$ aws iam attach-role-policy —role-name [ASSUMED_ROLE] —policy_arn [POLICY_WITH_GETFEDERATIONTOKEN]`

## Fehlermeldung: Sitzung abgelaufen
<a name="saml-sessionexpired-message"></a>

Wenn Sie bei der Anmeldung die Meldung **Sitzung abgelaufen** sehen, müssen Sie wahrscheinlich nur das Sitzungstoken aktualisieren. Gehen Sie zu Ihrem Identitätsanbieter und melden Sie sich an. Aktualisieren Sie die Amazon-Connect-Seite. Wenn Sie diese Nachricht weiterhin erhalten, wenden Sie sich an Ihr IT-Team.