As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Integrar o provedor de identidades (IdP) a um endpoint de login SAML do Amazon Connect Global Resiliency
<a name="integrate-idp"></a>

Para permitir que seus agentes façam login uma vez e estejam conectados às duas AWS regiões para processar contatos da região ativa atual, você precisa definir as configurações do IAM para usar o endpoint SAML de login global. 

## Antes de começar
<a name="before-idp"></a>

Você deve habilitar o SAML para a instância do Amazon Connect para usar o Amazon Connect Global Resiliency. Para obter mais informações, consulte [Habilitar o acesso de usuários federados SAML 2.0 ao AWS Management Console](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html). 

## O que é importante saber
<a name="important-integrate-idp"></a>
+ O failover do agente só é suportado ao usar o endpoint de login global.
+ Para executar as etapas neste tópico, você precisará do ID da instância. Para obter instruções sobre como encontrá-la, consulte [Encontrar o ID ou ARN da instância do Amazon Connect](find-instance-arn.md).
+ Você também precisará saber qual é a região de origem das instâncias do Amazon Connect. Para obter instruções sobre como encontrá-la, consulte [Como encontrar a região de origem das instâncias do Amazon Connect](create-replica-connect-instance.md#how-to-find-source-region-of-instances). 
+ Se você estiver incorporando a aplicação Connect em um iframe, deverá garantir que o domínio esteja presente na lista de origens aprovadas na instância de origem e de réplica para que o login global funcione.

  Para configurar as origens aprovadas no nível da instância, siga as etapas em [Usar uma lista de permissões para aplicações integradas no Amazon Connect](app-integration.md).
+ Os atendentes já devem estar criados em *ambas* as instâncias (origem e réplica) do Amazon Connect e ter um nome de usuário igual ao nome da sessão de função do provedor de identidades (IdP). Caso contrário, você receberá uma `UserNotOnboardedException` e correrá o risco de perder os recursos de redundância de atendentes entre as instâncias.
+ Você deve associar os atendentes a um grupo de distribuição de tráfego antes que eles tentem fazer login. Do contrário, o login do atendente apresentará falha com uma `ResourceNotFoundException`. Para obter informações sobre como configurar grupos de distribuição de tráfego e associar atendentes a eles, consulte [Associe agentes às instâncias do Amazon Connect em várias AWS regiões](associate-agents-across-regions.md).
+ Quando os atendentes se agrupam no Amazon Connect com o novo URL de login do SAML, o Amazon Connect Global Resiliency sempre tenta registrar o atendente em suas regiões/instâncias de origem e réplica, independentemente de como `SignInConfig` está definida no grupo de distribuição de tráfego. Você pode verificar isso verificando CloudTrail os registros. 
+ A `SignInConfig` distribuição em seu grupo de distribuição de tráfego padrão determina apenas o que Região da AWS é usado para facilitar o login. Independentemente de como a distribuição `SignInConfig` está configurada, o Amazon Connect sempre tenta fazer login dos atendentes nas duas regiões da instância do Amazon Connect.
+ Após a replicação de uma instância do Amazon Connect, somente um endpoint de login do SAML é gerado para as instâncias. Esse endpoint sempre contém a fonte Região da AWS na URL. 
+ Não há necessidade de configurar um estado de retransmissão ao usar o URL de login personalizado do SAML com o Amazon Connect Global Resiliency.

## Como integrar o provedor de identidades
<a name="howto-integrate-idp"></a>

1. Quando você cria uma réplica da sua instância do Amazon Connect usando a [ReplicateInstance](https://docs.aws.amazon.com/connect/latest/APIReference/API_ReplicateInstance.html)API, um URL de login SAML personalizado é gerado para suas instâncias do Amazon Connect. O URL é gerado no seguinte formato: 

   `https://instance-id.source-region.sign-in.connect.aws/saml`

   1. *instance-id*é o ID da instância de qualquer instância em seu grupo de instâncias. O ID da instância é idêntico nas regiões de origem e réplica.

   1. *source-region*corresponde à AWS região de origem na qual a [ReplicateInstance](https://docs.aws.amazon.com/connect/latest/APIReference/API_ReplicateInstance.html)API foi chamada.

1. Adicione a política de confiança a seguir ao seu perfil de federação do IAM. Use o URL para o endpoint de login global do SAML conforme mostrado no exemplo a seguir.

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Effect":"Allow",
            "Principal":{
               "Federated":[
                 "arn:aws:iam::111122223333:saml-provider/MySAMLProvider"
               ]
            },
            "Action":"sts:AssumeRoleWithSAML",
            "Condition":{
               "StringLike":{
                  "SAML:aud":[
                     "https://instance-id.source-region.sign-in.connect.aws/saml*"
                  ]
               }
            }
         }
      ]
   }
   ```

------
**nota**  
`saml-provider-arn` é o recurso do provedor de identidades criado no IAM.

1. Permita o acesso de `connect:GetFederationToken` ao `InstanceId` na federação do IAM. Por exemplo:

------
#### [ JSON ]

****  

   ```
   {
   "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "GetFederationTokenAccess",
               "Effect": "Allow",
               "Action": "connect:GetFederationToken",
               "Resource": "*",
               "Condition": {
                   "StringEquals": {
                       "connect:InstanceId": "your-instance-id"
                   }
               }
           }
       ]
   }
   ```

------

1. Adicione um mapeamento de atributos à aplicação do provedor de identidades usando as strings de atributos e valores a seguir.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/connect/latest/adminguide/integrate-idp.html)

1. Configure o URL do Assertion Consumer Service (ACS) do provedor de identidades para apontar para o URL de login personalizado do SAML. Use o seguinte exemplo para o URL do ACS:

   ```
   https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination
   ```

1. Defina os seguintes campos nos parâmetros do URL:
   + `instanceId`: o identificador da instância do Amazon Connect. Para obter instruções sobre como localizar o ID da instância, consulte [Encontrar o ID ou ARN da instância do Amazon Connect](find-instance-arn.md).
   + `accountId`: o ID da AWS conta em que as instâncias do Amazon Connect estão localizadas.
   + `role`: defina como o nome ou o nome do recurso da Amazon (ARN) da função do SAML usada para federação do Amazon Connect.
   + O nome do recurso da Amazon (ARN) do provedor de identidades SAML do IAM.
   + `destination`: defina o caminho opcional pelo qual os atendentes chegarão à instância após o login (por exemplo: `/agent-app-v2`).