本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置网络以使用 Amazon Connect 联系人控制面板 (CCP)
传统 VoIP 解决方案要求您允许特定的 UDP 端口范围(例如 80 和 IPs 443)的入站和出站。这些解决方案也适用于 TCP。与之相比,使用联系人控制面板 (CCP) 和软电话的网络要求干扰性较小。您可以通过 Web 浏览器建立持久的出站 send/receive 连接。因此,您无需打开客户端端口来侦听入站流量。
下图显示了每个端口的用途。
![\[该图显示了 Amazon Connect 组件及其与 AWS 云服务的连接。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/networking.png)
如果您的联络中心使用是电子邮件渠道,请参阅《Amazon SES 开发人员指南》了解相关信息。如果您的企业发送大量电子邮件,则可能需要租用专用 IP 地址。有关更多信息,请参阅 [Amazon SES 专用 IP 地址](https://docs.aws.amazon.com/ses/latest/dg/dedicated-ip.html)。
以下部分介绍了使用 CCP 时的两种主要连接选项。
**Topics**
+ [选项 1(推荐):将 Amazon EC2 和 CloudFront IP 范围要求替换为域名许可名单](#option1)
+ [选项 2(不推荐):允许 IP 地址范围](#option2)
+ [有关 Amazon Connect IP 地址范围](#about-connect-ip-address-range)
+ [无状态防火墙](#stateless-firewalls)
+ [允许在日程安排中 Amazon Connect 上传休假余额和津贴](#endpoints-scheduling)
+ [允许软电话使用 DNS 解析](#allow-dns-resolution)
+ [端口和协议注意事项](#port-considerations)
+ [区域选择注意事项](#ccp-region-selection)
+ [座席远程使用 Amazon Connect](#remote-agents)
+ [重新路由音频](#reroute-audio)
+ [使用 Direct Connect](#using-directconnect)
+ [Amazon Connect 中应用程序、网络通话和视频通话对座席工作站的要求](videocalling-networking-requirements.md)
+ [详细网络路径](detailed-network-paths.md)
+ [在 VDI 环境中使用 Amazon Connect](using-ccp-vdi.md)
+ [联络中心座席如何连接到联系人控制面板 (CCP)](ccp-connectivity.md)
+ [CCP 如何利用 WebRTC](ccp-leverages-webrtc.md)
+ [使用 Amazon Connect 中的集成应用程序的允许列表](app-integration.md)
+ [更新您的域](update-your-connect-domain.md)
## 选项 1(推荐):将 Amazon EC2 和 CloudFront IP 范围要求替换为域名许可名单
第一个选项可以让您显著减少影响范围。
建议您尝试选项 1,并使用 200 个以上的呼叫来测试它。测试软件电话错误、掉线呼叫和 conference/transfer 功能。如果您的错误率大于 2%,则座席解析可能有问题。在这种情况下,请考虑使用选项 2。
要允许 Amazon EC2 端点的流量,请允许对 URL 和端口的访问,如下表中第一行所示。您应该这样做,而不是允许 ip-ranges.json 文件中列出的 IP 地址范围。您可以获得与使用 CloudFront 的域相同的好处,如下表中第二行所示。
| 域/URL 允许列表 | AWS 区域 | 端口 | 方向 | 交通 |
| --- | --- | --- | --- | --- |
| rtc\$1.connect-telecom。 *region*.amazonaws.co 由 ccp\$1 (v1) 使用。 请参阅此表后面的注释。 | region替换为您的 Amazon Connect 实例所在的区域 | 443(TCP) | 出站 | 发送/接收 |
| 以下是 **\$1.my.connect.aws** 的最小允许列表: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/ccp-networking.html) 以下是 **\$1.awsapps.com** 的最小允许列表: **.awsapps.com** 是一个即将消失的旧域。有关将域更新为 **my.connect.aws** 的说明,请参阅 [更新您的 Amazon Connect 域](update-your-connect-domain.md)。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/ccp-networking.html) | *myInstanceName*替换为您的 Amazon Connect 实例的别名 | 443(TCP) | 出站 | 发送/接收 |
| \$1.telemetry.connect。 *region*.amazonaws.co | *region*替换为您的 Amazon Connect 实例的位置 | 443(TCP) | 出站 | 发送/接收 |
| 参与者。连接。 *region*.amazonaws.co | *region*替换为您的 Amazon Connect 实例的位置 | 443(TCP) | 出站 | 发送/接收 |
| \$1.transport.conect *region*.amazonaws.co 由 ccp-v2 使用。 | *region*替换为您的 Amazon Connect 实例的位置 | 443(TCP) | 出站 | 发送/接收 |
| *Amazon S3 bucket name*.s3。 *region*.amazonaws.co | *Amazon S3 bucket name*替换为存储附件的位置的名称。*region*替换为您的 Amazon Connect 实例的位置 | 443(TCP) | 出站 | 发送/接收 |
| TurnNlb-\$1.elb。 *region*.amazonaws.co 要将特定端点添加到基于区域的允许列表,请参阅 [NLB 端点](#nlb-endpoints)。 | *region*替换为您的 Amazon Connect 实例的位置 | 3478(UDP) | 出站 | 发送/接收 |
| *instance-id.source-region*.sign-in.connect.aws 只有在您已加入 [Amazon Connect Global Resiliency](setup-connect-global-resiliency.md) 后,才会使用此选项。 | *instance-id*替换为您的实例 ID *source-region* 和源实例的 AWS 区域。有关更多信息,请参阅 [将您的身份提供商(IdP)与 Amazon Connect Global Resiliency SAML 登录端点集成](integrate-idp.md)。 | 443(HTTPS) | 出站 | 发送/接收 |
| \$1。 *source-region*.region-discovery.connect. 只有在您已加入 [Amazon Connect Global Resiliency](setup-connect-global-resiliency.md) 后,才会需要此选项。 | *source-region*替换为源实例的 AWS 区域。有关如何查找源区域的说明,请参阅[如何查找您的 Amazon Connect 实例的源区域](create-replica-connect-instance.md#how-to-find-source-region-of-instances)。 | 443(HTTPS) | 出站 | 发送/接收 |
完全限定的域名 (FQDNs) 不能根据每个客户进行更改或自定义。而是使用[选项 2-允许 IP 地址范围](#option2)。
**提示**
使用 `rtc*.connect-telecom.region.amazonaws.com`、` *.transport.connect.region.amazonaws.com` 和 `https://myInstanceName.awsapps.com` 时,在某些座席应用程序中,Web 套接字处理可能会影响功能。请确保先执行测试进行验证,然后再部署到生产环境中。
如果您想将 CloudFront 域名而不是IP范围添加到许可名单中,则下表列出了用于静态资产的域名:
| Region | CloudFront 域名 |
| --- | --- |
| us-east-1 | https://dd401jc05x2yk.cloudfront.net/ https://d1f0uslncy85vb.cloudfront.net/ |
| us-west-2 | https://d38fzyjx9jg8fj.cloudfront.net/ https://d366s8lxuwna4d.cloudfront.net/ |
| ap-northeast-1 | https://d3h58onr8hrozw.cloudfront.net/ https://d13ljas036gz6c.cloudfront.net/ |
| ap-northeast-2 | https://d11ouwvqpq1ads.cloudfront.net/ |
| ap-southeast-1 | https://d2g7up6vqvaq2o.cloudfront.net/ https://d12o1dl1h4w0xc.cloudfront.net/ |
| ap-southeast-2 | https://d2190hliw27bb8.cloudfront.net/ https://d3mgrlqzmisce5.cloudfront.net/ |
| eu-central-1 | https://d1n9s7btyr4f0n.cloudfront.net/ https://d3tqoc05lsydd3.cloudfront.net/ |
| eu-west-2 | https://dl32tyuy2mmv6.cloudfront.net/ https://d2p8ibh10q5exz.cloudfront.net/ |
**注意**
ca-central 未包含在表中,因为我们在域 `*.my.connect.aws` 后面托管了静态内容。
如果您的企业不使用 SAML,并且有防火墙限制,则可以为每个区域添加以下条目:
| Region | CloudFront 域名 |
| --- | --- |
| us-east-1 | https://d32i4gd7pg4909.cloudfront.net/ |
| us-west-2 | https://d18af777lco7lp.cloudfront.net/ |
| eu-west-2 | https://d16q6638mh01s7.cloudfront.net/ |
| ap-northeast-1 | https://d2c2t8mxjhq5z1.cloudfront.net/ |
| ap-northeast-2 | https://d9j3u8qaxidxi.cloudfront.net/ |
| ap-southeast-1 | https://d3qzmd7y07pz0i.cloudfront.net/ |
| ap-southeast-2 | https://dwcpoxuuza83q.cloudfront.net/ |
| eu-central-1 | https://d1whcm49570jjw.cloudfront.net/ |
| ca-central-1 | https://d2wfbsypmqjmog.cloudfront.net/ |
| us-gov-east-1: | https://s3-us-gov-east-1.amazonaws.com/warp-drive-console-static-content-prod-osu/ |
| us-gov-west-1: | https://s3-us-gov-west-1.amazonaws.com/warp-drive-console-static-content-prod-pdt/ |
### NLB 端点
下表列出了 Amazon Connect 实例所在区域的特定端点。如果你不想使用 TurnNlb-\$1.elb。 *region*.amazonaws.com 通配符,您可以改为将这些终端节点添加到您的许可名单中。
| Region | 启用域/URL |
| --- | --- |
| us-west-2 | TurnNlb-8d79b4466d82ad0e。elb.us-west-2.amazonaws.com TurnNlb-dbc4ebb71307fda2。elb.us-west-2.amazonaws.com TurnNlb-13c884fe3673ed9f。elb.us-west-2.amazonaws.com TurnNlb-6bb66eee54ee32710。elb.us-west-2.amazonaws.com TurnNlb-ecc67f8fbd7a29f6。elb.us-west-2.amazonaws.com |
| us-east-1 | TurnNlb-d76454ac48d20c1e。elb.us-east-1.amazonaws.com TurnNlb-31a7fe8a79c27929。elb.us-east-1.amazonaws.com TurnNlb-7a9b8e750cec315a。elb.us-east-1.amazonaws.com TurnNlb-d40f7ff9cdd63758。elb.us-east-1.amazonaws.com TurnNlb-7675623c965365c2。elb.us-east-1.amazonaws.com |
| af-south-1 | TurnNlb-29b8f2824c2958b8。elb.af-south-1.amazonaws.com |
| ap-northeast-1 | TurnNlb-3c6ddabcbeb821d8。elb.ap-northeast-1.amazonaws.com |
| ap-northeast-2 | TurnNlb-a2d59ac3f246f09a。elb.ap-northeast-2.amazonaws.com |
| ap-southeast-1 | TurnNlb-261982506d86d300。elb.ap-southeast-1.amazonaws.com |
| ap-southeast-2 | TurnNlb-93f2de0c97c4316b。elb.ap-southeast-2.amazonaws.com |
| ca-central-1 | TurnNlb-b019de6142240b9f。elb.ca-central-1.amazonaws.com |
| eu-central-1 | TurnNlb-ea5316ebe2759cbc。elb.eu-central-1.amazonaws.com TurnNlb-cce94fede9926d70。elb.eu-central-1.amazonaws.com |
| eu-west-2 | TurnNlb-1dc64a459ead57ea。elb.eu-west-2.amazonaws.com TurnNlb-0c39b6a52bcdd46。elb.eu-west-2.amazonaws.com |
| us-gov-west-1 | TurnNlb-d7c623c23f628042.elb。 us-gov-west-1.amazonaws.com |
## 选项 2(不推荐):允许 IP 地址范围
第二个选项依赖于使用允许列表来定义 Amazon Connect 可以使用的 IP 地址和端口。您可以使用 [AWS ip-ranges.json](https://ip-ranges.amazonaws.com/ip-ranges.json) 文件中的 IP 地址创建此允许列表。
如果您使用 Amazon Connect 的区域未出现在 AWS ip-ranges.json 文件中,请仅使用全局值。
有关此文件的更多信息,请参阅 [有关 Amazon Connect IP 地址范围](#about-connect-ip-address-range)。
| IP 范围条目 | AWS 区域 | 端口/协议 | 方向 | 交通 |
| --- | --- | --- | --- | --- |
| AMAZON\$1CONNECT | GLOBAL 和您的 Amazon Connect 实例所在的区域(将 GLOBAL 和任何区域特定条目添加到您的允许列表中) | 3478(UDP) | 出站 | 发送/接收 |
| EC2 | GLOBAL 和您的 Amazon Connect 实例所在的区域(仅当区域特定条目不存在时为 GLOBAL) | 443(TCP) | 出站 | 发送/接收 |
| CLOUDFRONT | 全球\$1 | 443(TCP) | 出站 | 发送/接收 |
\$1 从边缘位置CloudFront 提供静态内容,例如图像或 javascript,与您的代理所在位置相比,延迟最低。IP 范围允许列表 CloudFront 是全球性的,需要在 ip-ranges.json 文件中与 **“服务”:“CLOUDFRONT”** 关联的所有 IP 范围。
## 有关 Amazon Connect IP 地址范围
在 [AWS ip-ranges.json](https://ip-ranges.amazonaws.com/ip-ranges.json) 文件中,整个 /19 IP 地址范围都归 Amazon Connect 使用。/19 IP 地址范围发送和接收的所有流量都通过 Amazon Connect 发送和接收。
/19 IP 地址范围不与其他服务共享。它在全球范围内专用于 Amazon Connect。
在 AWS ip-ranges.json 文件中,你可以看到相同的范围列出两次。例如:
```
{ "ip_prefix": "15.193.0.0/19",
"region": "GLOBAL",
"service": "AMAZON"
},
{
"ip_prefix": "15.193.0.0/19",
"region": "GLOBAL",
"service": "AMAZON_CONNECT"
},
```
AWS 始终将任何 IP 范围发布两次:一次用于特定服务,一次针对 “亚马逊” 服务。甚至可能为某项服务中更具体的应用场景发布第三次。
当有 Amazon Connect 支持的新 IP 地址范围时,这些地址将添加到公开可用的 ip-ranges.json 文件中。在服务使用它们之前,它们至少要保存 30 天。30 天后,通过新的 IP 地址范围的软电话流量会在后续的两周内增加。两周后,流量会通过相当于所有可用范围的新范围进行路由。
有关此文件和 IP 地址范围的更多信息 AWS,请参阅 [AWS IP 地址范围](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)。
## 无状态防火墙
如果这两种选项都使用无状态防火墙,则使用前一部份中所述的要求。然后,您必须将浏览器使用的临时端口范围添加到允许列表中,如下表所示。
| IP 范围条目 | 端口: | 方向 | 交通 |
| --- | --- | --- | --- |
| AMAZON\$1CONNECT | Windows 环境:49152-65535 (UDP) Linux 环境:32768 - 61000 | 入站 | 发送/接收 |
## 允许在日程安排中 Amazon Connect 上传休假余额和津贴
要允许在 Amazon Connect 调度中上传休假余额和津贴,请将以下上传端点添加到您的代理例外列表中:
+ https://bm-prod-*region*-cell-1-uploadservice-staging.s3。 *region*.amazonaws.co
+ https://bm-prod-*region*-cell-2-uploadservice-staging.s3。 *region*.amazonaws.co
有关这些端点支持的活动的更多信息,请参阅以下主题:
+ [在 Amazon Connect 中设置集体休假限额](config-group-allowance-to.md)
+ [将座席的休假时间余额导入 Amazon Connect](upload-timeoff-balance.md)
## 允许软电话使用 DNS 解析
如果您已经将 Amazon Connect IP 范围添加到许可名单中,并且对 DNS 名称解析没有任何限制,则无需添加 **TurnNlb-\$1.elb。 *region*.amazonaws.com 加入您的许可**名单。
+ 要检查 DNS 名称解析是否有限制,请使用 `nslookup` 命令。例如:
`nslookup TurnNlb-d76454ac48d20c1e.elb.us-east-1.amazonaws.com`
**如果您无法解析 DNS,则必须添加[上面列出](#nlb-endpoints)的 TurnnLB 端点或 TurnNlb-\$1.elb。 *region*.amazonaws.com 加入您的许可**名单。
如果您不允许此域,您的座席在接听呼叫时,会在联系人控制面板 (CCP) 中收到以下错误:
+ 无法建立软电话连接。重试或通过以下方式联系您的管理员:浏览器无法通过轮流建立媒体频道:TurnNlb-xxxxxxxxxxxxxxx.elb。 *region*.amazonaws.com: 3478? transport=udp
## 端口和协议注意事项
为 Amazon Connect 实施您的网络配置更改时,请考虑以下几点:
+ 对于您在其中创建 Amazon Connect 实例的区域,需要允许所有地址和范围的流量。
+ 如果您在 CCP 与 Amazon Connect 之间使用座席或防火墙,请增加 SSL 证书缓存的超时时间,以覆盖座席的所有轮班时间,这样做是为了避免在计划的工作时间内续订证书时出现连接问题。例如,如果您的座席工作为 8 小时轮班制(包括休息时间),则应将间隔延长到 8 小时(外加休息和午餐时间)。
+ 打开端口时,Amazon EC2 和 Amazon Connect 只要求端点的端口与您的实例位于同一区域。但是 CloudFront,Amazon 从边缘位置提供静态内容,与您的代理所在位置相比,延迟最低。的 IP 范围许可名单 CloudFront 是全球性的,需要所有 IP 范围都与 “服务” 相关联:ip-ranges.json 中的 “CLOUDFRONT”。
+ ip-ranges.json 更新后,关联的 AWS 服务将在 30 天后开始使用更新后的 IP 范围。为避免服务开始将流量路由到新 IP 范围时出现间歇性连接问题,请确保在将新 IP 范围添加到 ip-ranges.json 的 30 天内,将其添加到允许列表中。
+ 如果您在 Amazon Connect Streams API 中使用自定义 CCP,则可以创建一个无需介质的 CCP,它不需要打开端口即可与 Amazon Connect 通信,但仍需要打开端口才能与 Amazon EC2 和进行通信。 CloudFront
## 区域选择注意事项
Amazon Connect 区域选择取决于数据监管要求、应用场景、每个区域的可用服务和与您的座席、联系人和外部转接端点的地理位置相关的延迟。
+ **座席位置/网络**,CCP 连接遍历公共 WAN,因此工作站必须具有尽可能低的延迟和最少的跃点数,尤其是连接到托管资源和 Amazon Connect 实例的 AWS 区域。例如,对于需要通过多次跳转才能到达边缘路由器的星型拓扑网络,这会增加延迟并降低体验质量。
在设置实例和座席时,请确保在地理位置上最接近座席的区域创建实例。如果您需要在特定区域设置实例以遵守公司政策或其他法规,请选择能使座席的计算机与 Amazon Connect 实例之间的网络跃点数最少的配置。
+ **呼叫方的位置**,由于呼叫会锚定到您的 Amazon Connect 区域端点,因此会受到 PSTN 延迟的影响。理想情况下,您的来电者和转接终端节点的地理位置应尽可能靠近托管 Amazon Connect 实例的 AWS 区域,以实现最低延迟。
为获得最佳性能,并限制在客户呼入联络中心时遇到的延迟,请在地理位置最接近客户呼出位置的区域创建您的 Amazon Connect 实例。您考虑创建多个 Amazon Connect 实例,并在为客户提供联系信息时提供最接近他们呼出位置的号码。
+ **外部转接**,在呼叫期间,Amazon Connect 会保持锚定到您的 Amazon Connect 区域端点。按分钟计算的使用量会继续累计,直至转接呼叫的接收方断开呼叫。在座席下线或转接完成后,呼叫不会被记录。在呼叫终止后,会生成转接呼叫的联系记录数据和相关的呼叫记录。在可能的情况下,请勿转接可能会转接回 Amazon Connect 的呼叫(即循环转接),以避免增加 PSTN 延迟。
## 座席远程使用 Amazon Connect
**重要**
如果您的代理使用 SAML 2.0 登录 Amazon Connect,则需要将登录终端节点和配额中列出的 AWS SSO 终端节点列入许可[AWS 名](https://docs.aws.amazon.com/general/latest/gr/signin-service.html)单。
对于那些在连接到您组织主网络区域以外的位置使用 Amazon Connect 的远程座席,如果他们遇到连接不稳定、数据包丢失或延迟过高的问题,通常都与本地网络有关。如果需要 VPN 才能访问资源,这个问题会更为严重。理想情况下,代理位于托管您的 AWS 资源和 Amazon Connect 实例的 AWS 区域附近,并且与公共 WAN 有稳定的连接。
## 重新路由音频
将音频重新路由到现有设备时,请考虑该设备相对于 Amazon Connect 区域的位置。由此可以将可能存在的延迟考虑在内。如果要重新路由音频,只要对该座席进行呼叫,就会向所配置的设备发出出站呼叫。座席一旦应答该设备,该座席就会与呼叫方连接。如果座席没有应答其设备,他们就会进入错过联系人状态,直至他们或主管将其状态改回可用。
## 使用 Direct Connect
联系人控制面板 (CCP) 网络连接问题通常源于您 AWS 使用私有 WAN/LAN、ISP 或两者的路径。虽然 Direct Connect 不能解决边缘路由器的私有 LAN/WAN 穿越所特有的问题,但它可以帮助解决边缘路由器与资源之间的延迟和 AWS 连接问题。 Direct Connect 提供持久、一致的连接,而不必依赖您的 ISP 将请求动态路由到 AWS 资源。它还允许您将边缘路由器配置为通过专用光纤重定向 AWS 流量,而不是通过公共 WAN。
# Amazon Connect 中应用程序、网络通话和视频通话对座席工作站的要求
Amazon Connect 应用内、网络和视频通话功能使您的客户无需离开您的网络或移动应用程序即可与您联系。视频通话功能利用视频流的 Amazon Chime SDK 通信基元。语音体验是通过处理的 Amazon Connect。
**重要**
视频通话不支持 VDI 环境。
下表显示了座席工作站的额外网络要求。
| 域: | 子网 | 端口 |
| --- | --- | --- |
| \$1.chime.aws | 99.77.128.0/18 | 443(TCP) 3478(UDP) |
下图显示了使用通信小部件与您联系的客户的网络要求。
![\[使用网络通话或视频的客户的网络要求。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/networking-customer.png)
# Amazon Connect 的详细网络路径
## 语音呼叫
下图显示了语音呼叫是如何通过 Amazon Connect 传输的
![\[语音通话流示图展示浏览器访问、WebRTC、PSTN 连接和 S3 录音存储。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/network-path-voice-calls.png)
1. 用户使用 Web 浏览器访问 Amazon Connect 应用程序。所有通信在传输过程中都使用 TLS 加密。
1. 用户使用 WebRTC,从其浏览器建立与 Amazon Connect 的语音连接。信令通信在传输过程中使用 TLS 加密。音频在传输过程中使用 SRTP 加密。
1. Amazon Connect 和 AWS 电信运营商合作伙伴之间使用专用网络连接建立与传统电话的语音连接 (PSTN)。在使用共享网络连接的情况下,信令通信在传输过程中使用 TLS 加密,音频在传输过程中使用 SRTP 加密。
1. 通话录音存储在 Amazon Connect 已获得访问权限的 Amazon S3 存储桶中。此数据在 Amazon Connect 和 Amazon S3 之间使用 TLS 进行加密。
1. Amazon S3 服务器端加密用于使用客户拥有的 KMS 密钥对通话录音进行静态加密。
## 身份验证
下图显示了 Directory Service 如何使用 AD Connector 与现有客户的 Active Directory 安装进行连接。该流程类似于使用 AWS Managed Microsoft AD。
![\[身份验证流示图显示 AD Connector 与客户 Active Directory 集成。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/network-path-authentication.png)
1. 用户的网络浏览器使用带有用户凭证的公共互联网通过 TLS 启动对 OAuth 网关的身份验证(Amazon Connect 登录页面)。
1. OAuth 网关通过 TLS 向 AD Connector 发送身份验证请求。
1. AD Connector 对 Active Directory 执行 LDAP 身份验证。
1. 用户的 Web 浏览器根据身份验证请求从网关接收回的 OAuth 票证。
1. 客户端加载联系人控制面板(CCP)。该请求通过 TLS 发出,并使用 OAuth 票证来识别用户/目录。
# 在 VDI 环境中使用 Amazon Connect
虚拟桌面基础架构 (VDI) 环境会让您的解决方案变得更加复杂,需要单独进行 POC 工作和性能测试,以优化解决方案。与其他任何基于WebRTC的浏览器应用程序一样,联络控制面板 (CCP) 可以在厚客户端、精简版和零客户端 VDI 环境中运行,最好由您的 VDI 支持团队处理。configuration/support/optimization虽然如此,以下一系列注意事项和最佳实践仍然能够为基于 VDI 的客户提供帮助。
## 使用分离式 CCP 模型
建议使用分离式 CCP 模型,在 VDI 中运行无媒体 CCP,在本地 PC 上运行媒体 CCP。您可以使用 Amazon Connect Streams API 创建一个不含应用程序数据和呼叫信令的媒体的 CCP,从而构建自定义 CCP。这样,媒体通过标准的 CCP 传送到本地桌面,数据和呼叫控件则通过无媒体 CCP 传送到远程连接。有关直播 API 的更多信息,请参阅 GitHub 存储库,网址为[https://github.com/aws/amazon-connect-streams](https://github.com/aws/amazon-connect-streams)。
**注意**
**Firefox 用户**:如果在分离式模式下使用 VDI,则无法在 VDI 之外为 CCP 使用 Firefox 浏览器。CCP 符合 Firefox 麦克风使用指南,只有在 CCP 选项卡处于焦点时才能连接到用户的麦克风。
下图显示了座席工作站如何由本地浏览器和虚拟桌面组成。它通过 WebRTC 连接到 Amazon Connect,并通过 VDI 连接到企业虚拟基础设施。
![\[座席工作站、虚拟桌面、企业虚拟基础设施和 Amazon Connect。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/use-split-ccp.png)
## 云桌面
如果您使用 Citrix WorkSpaces、Amazon 或 Omnissa 云桌面,则可以创建新的代理用户界面或更新现有的代理用户界面(例如自定义 CCP),将音频处理卸载到代理的本地设备上,并将音频自动重定向到 Amazon Connect。这将带来更流畅的座席体验,并在具有挑战性的网络中提高音频质量。首先,您可以使用 [Amazon Connect 开源库](https://github.com/amazon-connect/amazon-connect-streams)创建新的座席用户界面或更新现有的座席用户界面,例如自定义 CCP。
## 设计 VDI 环境时应考虑的事项
+ **座席位置**,理想情况下,座席使用 CCP 时所在的位置与 VDI 主机位置之间的跃点数应为最少且往返时间应为最短。
+ **VDI 解决方案的主机位置**,理想情况下,VDI 主机位置与您的座席位于同一网段上,内部资源以及边缘路由器之间的跃点数应为最少。另外,您还需要尽可能缩短到 WebRTC 和 Amazon EC2 范围端点的往返时间。
+ **网络**,流量在端点之间经过的每个跃点都会增加发生故障和延迟的可能性。如果底层路由未经过优化,或者管道的速度或容量不够,VDI 环境就特别容易出现呼叫质量问题。虽然 Direct Connect 可以提高从边缘路由器到的呼叫质量 AWS,但它不能解决内部路由问题。您可能需要升级或优化您的私有 LAN/WAN,或重定向到外部设备以绕过呼叫音频问题。在大多数情况下,如果需要这样做,那么 CCP 并不是唯一会出现问题的应用程序。
+ **专用资源**,建议在网络和桌面级别使用,以防止备份和大型文件传输等活动影响可用的座席资源。要防止资源争用,一种方法是限制为只允许通过相似方式使用其环境的 Amazon Connect 用户访问桌面,而不是与可能通过不同方式使用对应资源的其他业务部门共享资源。
+ **使用带有远程连接的软电话**,在 VDI 环境中,这可能会对音频质量产生影响。
**提示**
如果您的座席连接到远程端点并在该环境中运行,建议您要么将音频重新路由到外部 E.164 端点,要么通过本地设备连接到媒体并通过远程连接发送信号。
# 优化 Citrix 云桌面的 Amazon Connect 音频
当您的座席使用 Citrix 虚拟桌面基础架构(VDI)环境时,Amazon Connect 可以更轻松地提供高质量的语音体验。您的座席可以利用他们的 Citrix 远程桌面应用程序(例如 Citrix Workspaces)将音频处理分流到座席的本地设备,并自动将音频重定向到 Amazon Connect,从而在具有挑战性的网络中提高音频质量。
首先,您可以使用 [Amazon Connect 开源库](https://github.com/amazon-connect/amazon-connect-streams)创建新的座席用户界面或更新现有的座席用户界面,例如自定义联系人控制面板(CCP)。
## 系统要求
本节介绍了在 Amazon Connect 中使用 Citrix Unified Communications SDK 的系统要求。
+ **Citrix Workspace 应用程序版本**
建议使用最新版本的 Citrix Workspace Application,如[本文档](https://community.citrix.com/tech-zone/learn/tech-briefs/ucssdk/)所述。但是,您必须至少使用 CWA 2305 或更高版本。
+ **Citrix 服务器版本**
建议 Citrix VDA(Virtual Delivery Agent)的版本为 2203 LTSR 或更高版本。
+ **Citrix 服务器设置**
默认情况下不支持使用 Citrix UC SDK,系统管理员需要按如下方式添加允许列表注册表条目:
+ **键路径:**`Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\WebSocketService`
+ **键名称:**`ProcessWhitelist`
+ **键类型:**`REG_MULTI_SZ`
+ **键值:**
+ `Chrome.exe`
+ `msedge.exe`
成功配置注册表后,使用**任务管理器**重启 `CitrixHdxWebSocketService` 以完成设置。
![\[在 Windows 中使用任务管理器重新启动 CitrixHdxWebSocketService。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/using-ccp-vdi-citrix-server-setup.png)
+ **网络/防火墙配置**
+ **Citrix 服务器配置**
管理员需要允许 Citrix 服务器访问下图所示域的 Amazon Connect TCP/443 流量。有关更多信息,请参阅 [设置网络](ccp-networking.md)。
+ **座席计算机配置**
此解决方案要求座席的瘦客户端与 Amazon Connect 之间建立媒体连接。要允许座席计算机与 Amazon Connect 的 Softphone Media UDP 端口 3478 之间的流量,请参阅 [设置网络](ccp-networking.md)。
![\[Citrix 服务器和座席计算机防火墙设置。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/using-ccp-vdi-citrix-server-firewall.png)
+ **不支持 CCP 部署**
+ 本地 CCP
## 在通话期间确认瘦客户端和 Amazon Connect 之间的媒体流
+ **使用任务管理器(Windows)进行验证**
在座席的瘦客户端上启动**任务管理器**,然后检查 HDX 服务是否正在运行。如果它正在运行,则表示媒体正在按预期重定向。
![\[在 Windows 中使用任务管理器。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/using-ccp-vdi-citrix-confirm-media-flow-windows.png)
# 为亚马逊 WorkSpaces 云桌面优化 Amazon Connect 音频
Amazon Connect 简化了为在亚马逊 WorkSpaces 虚拟桌面基础设施 (VDI) 环境中运营的代理提供高质量语音体验的过程。通过利用亚马逊 WorkSpaces 的WebRTC重定向功能,代理可以将Amazon Connect音频处理重定向到其本地设备。这种方法可以提高音频质量,即使在严峻的网络条件下也是如此。要利用此功能,您需要执行以下操作:
+ 使用 [Amazon Connect 开源库](https://github.com/amazon-connect/amazon-connect-streams)创建新的座席用户界面或更新现有的座席用户界面,例如自定义联系人控制面板(CCP)。
+ 将亚马逊配置 WorkSpaces 为启用 WebRTC 重定向。
## 系统要求
本节介绍使用带有 WorkSpaces WebRTC 重定向功能的 Amazon Connect 的系统要求。
+ **WorkSpaces 协议**
WorkSpaces 需要使用 Amazon DCV。有关更多信息,请参阅[什么是 Amazon DCV?](https://docs.aws.amazon.com/dcv/latest/adminguide/what-is-dcv.html)。
+ **客户端版本**
用户应使用 WorkSpaces Web Acces WorkSpaces s 或 Windows 客户端版本 5.21.0 或更高版本。完成[设置和安装](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_setup)说明。
+ **组策略**
需要在 DCV 组策略中启用 WebRTC 重定向。在[管理 DCV 的组策略设置](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_configurations_dcv)主题中,打开标题为**为 DCV 启用或禁用 WebRTC 重定向**的折叠部分,然后完成这些说明。
+ **网络/防火墙配置**
+ **工作空间 VDI 配置**
管理员需要允许工作空间访问下图所示域的 Amazon Connect TCP/443 流量。有关更多信息,请参阅 [设置网络](ccp-networking.md)。
+ **座席计算机配置**
此解决方案需要在座席瘦客户端与 Amazon Connect 之间建立媒体连接。要允许座席计算机与 Amazon Connect Softphone Media UDP 端口 3478 之间的流量,请参阅 [设置网络](ccp-networking.md)。
![\[工作空间 VDI 和座席计算机防火墙设置。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/vdi-workspaces.png)
+ **不支持 CCP 部署**
+ 本地 CCP
## 在通话期间确认座席机器和 Amazon Connect 之间的媒体流
+ 确保 DCV WebRTC 浏览器扩展程序已启用并处于“就绪”状态。
# 针对 Omnissa 云桌面优化 Amazon Connect 音频
当您的座席使用 Omnissa 虚拟桌面基础架构(VDI)环境时,Amazon Connect 使其可以更轻松地提供高质量的语音体验。您的座席可以利用其 Omnissa 远程桌面应用程序(例如 Omnissa Horizon Client),将音频处理任务卸载到座席的本地设备,并自动将音频重定向到 Amazon Connect,从而在具有挑战性的网络条件下也能实现音频质量的提升。
首先,您可以使用 [Amazon Connect 开源库](https://github.com/amazon-connect/amazon-connect-streams)创建新的座席用户界面或更新现有的座席用户界面,例如自定义联系人控制面板(CCP)。
## 系统要求
本节描述将 Omnissa Horizon SDK 与 Amazon Connect 结合使用时的系统要求。
+ **Omnissa Horizon 客户端版本**
+ 最低要求版本:座席和客户端均需 8.15.0(Horizon 2503)
+ 目前,Omnissa 仅支持运行 Windows 的座席工作站使用此功能。
+ 下载最新的 Omnissa 客户端
**重要**
2503 版本将是首个支持 ICE 重启功能的版本。早期版本不支持此功能。
Omnissa Horizon Client 版本 2503 将通过 [Omnissa Customer Connect](https://customerconnect.omnissa.com/downloads/info/slug/desktop_end_user_computing/omnissa_horizon_clients/8) 提供。请查看 Customer Connect 以获取最新版本。
+ **Omnissa 扩展程序和 SDK 要求**
+ Horizon WebRTC Web App 同时支持扩展程序和 SDK 8.15.0 或更高版本。
+ 此浏览器扩展程序使网页应用能够支持 Horizon Agent 内部的 WebRTC SDK,可在[此处](https://chromewebstore.google.com/detail/horizon-webrtc-web-app-su/emildoafpcgihdmhphelfhghioccllfi?pli=1)从 Chrome 应用商店下载该程序。
+ **浏览器支持(最新 3 个版本)**
+ Google Chrome
+ Microsoft Edge (Chromium)
+ **Omnissa 服务器设置**:Omnissa Horizon SDK 默认情况下不启用。系统管理员需要在 Omnissa Horizon Agent 虚拟机内部配置以下注册表设置 [建议通过注册表编辑器(regedit)配置]。
+ **打开注册表编辑器**
+ 对于 Windows:
+ 按 **Windows \$1 R**
+ 键入 **regedit** 并按 **Enter**。
+ 创建/导航到以下注册表路径:
```
Key Path: Computer\HKLM\SOFTWARE\Policies\Omnissa\Horizon\WebRTCRedirSDKWebApp
Key Names and Values:
chrome_enabled (REG_DWORD) = 1
edge_chrome_enabled (REG_DWORD) = 1
enabled (REG_DWORD) = 1
```
```
Key Path: Computer\HKLM\SOFTWARE\Policies\Omnissa\Horizon\WebRTCRedirSDKWebApp\UrlAllowList
Key Name: https://*.connect.aws/*
Key Name: https://*.connect.aws.a2z.com/*
Key Type: REG_SZ
```
在安装 Omnissa Agent 之后,无论 SDK 启用状态如何,html5server.exe 和 wsnm.exe 进程将始终在任务管理器中运行。下图显示正在任务管理器中运行的 html5server.exe 进程。
![\[任务管理器,html5server.exe 进程正在运行。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/omnissa-1.png)
下图显示正在任务管理器中运行的 wsnm.exe 进程。
![\[任务管理器,wsnm.exe 进程正在运行。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/omnissa-2.png)
+ **故障排查**
+ 可从以下位置找到 Omnissa 日志文件:
` %tmp%\omnissa-{username}\horizon-html5Client-{pid}.log`
**注意**
`{pid}` 指 Horizon 客户端“horizon-protocol.exe”进程 ID,可以在任务管理器中找到该 ID。
+ 用于增强日志记录的注册表设置
要为故障排查启用详细日志记录,请添加以下注册表项:
```
HKEY_LOCAL_MACHINE\SOFTWARE\Omnissa\Horizon\Html5mmr: - "html5mmr.log.noThrottle" = dword:00000001
```
```
HKEY_LOCAL_MACHINE\SOFTWARE\Omnissa\Horizon\Html5mmr\WebrtcRedir:
- "html5mmr.log.webrtc.allowFullText" = dword:00000001
- "html5mmr.log.webrtc.allowThrottle" = dword:00000000
- "html5mmr.log.webrtc.sharedlib.internal" = dword:00000001
- "html5mmr.log.webrtc.sharedlib.network" = dword:00000001
- "html5mmr.log.webrtc.sharedlib.media" = dword:00000001
- "html5mmr.log.webrtc.shim.logToConsole" = dword:00000001
- "html5mmr.log.webrtc.sharedlib.signal" = dword:00000001
- "html5mmr.log.noThrottle" = dword:00000001
- "html5mmr.log.webrtc.tracelevel" = dword:00000001
```
这些注册表设置能够启用详细日志记录,这有助于诊断与 Omnissa VDI 集成相关的问题。
+ **网络/防火墙配置**
+ **Omnissa VDI 配置**
管理员需要允许 Omnissa 服务器访问下图中所提及域的 Amazon Connect TCP/443 流量。有关此设置,请参阅[设置网络](ccp-networking.md)主题。
+ **座席工作站配置**
此解决方案要求座席的瘦客户端与 Amazon Connect 之间建立媒体连接。请按照[设置网络](ccp-networking.md)主题允许座席机器与 Amazon Connect Softphone Media UDP 端口 3478 之间的通信。
下图说明了 UDP 端口 3478 的使用。
![\[示图显示 UDP 端口 3478 的使用。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/omnissa-3.png)
## 您的自定义 CCP 上必要的代码更改
要在 Omnissa VDI 环境中启用音频优化,您必须使用以下更改配置您的自定义 CCP。
1. 在 CCP 初始化之前添加以下代码片段。它有助于管理 CCP 的窗口标识,这在座席打开多个窗口时尤其重要。它添加了一个时间戳和“Active Softphone Tab”标记,以帮助识别活动的 CCP 窗口。
```
const ACTIVE_SOFTPHONE_TAB = "Active Softphone Tab";
window.addEventListener('message', (event) => {
if (event.data.type === 'get_horizon_window_title') {
let title = document.title;
const currentTime = new Date();
if (!title.endsWith(ACTIVE_SOFTPHONE_TAB)) {
title += ` ${currentTime.getHours()}${currentTime.getMinutes()}${currentTime.getSeconds()} ` + ACTIVE_SOFTPHONE_TAB;
document.title += ` ${currentTime.getHours()}${currentTime.getMinutes()}${currentTime.getSeconds()} ` + ACTIVE_SOFTPHONE_TAB;
}
event.source.postMessage(
{ type: 'horizon_window_title_response', title: title, source: 'parent' },
event.origin
);
}
});
```
1. 在您的 initCCP 配置中添加 VDI 平台参数。这是为了启用音频重定向功能。
```
softphone: {
allowFramedSoftphone: true,
VDIPlatform: "OMNISSA"
}
```
**重要**
设置 `VDIPlatform: "OMNISSA"` 后,如果 Omnissa 音频优化失败,CCP 将不会回退到标准的 Web 浏览器音频。这意味着:
如果座席在 Omnissa 虚拟机之外访问 CCP,则呼叫将失败。
在设置此参数之前,CCP 开发人员必须确定 CCP 是否正在 Omnissa 虚拟机内运行。
**实施选项**:
使用单独的 URL 路径访问 Omnissa 和非 Omnissa。
使用 URL 参数来确定环境。
实现一个 API 以根据用户上下文确定正确的配置。
## 在通话期间如何确认瘦客户端和 Amazon Connect 之间的媒体流
1. 确保 Omnissa Horizon WebRTC 扩展程序已启用并处于“就绪”状态。
1. 检查浏览器工具栏中的扩展程序图标:
1. 蓝色图标表示“就绪”状态且功能正常。
1. 灰色图标表示“未就绪”状态且存在潜在问题。
下图显示 Omnissa Horizon WebRTC 浏览器扩展程序处于启用及“就绪”状态时的样子。
![\[Omnissa Horizon WebRTC 浏览器扩展程序处于启用状态时。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/omnissa-4.png)
1. 查看进程状态:
1. 打开任务管理器。
1. 验证 html5server.exe 和 wsnm.exe 进程是否正在运行。
1. 确保这些进程在呼叫期间保持运行。如果任一进程崩溃,VDI 功能都将失败。
1. 测试音频流:
1. 拨打测试电话
1. 通过在虚拟机的浏览器中禁用麦克风访问来验证音频优化 - 在本地处理音频时,呼叫应继续工作
1. 检查是否存在任何音频延迟或质量问题。
1. 使用 Wireshark 来验证:
Wireshark 是一款免费的开源网络数据包分析器。有关更多信息,请访问 Wireshark [网站](https://www.wireshark.org/)。
1. 从[此处](https://www.wireshark.org/download.html)下载 Wireshark。
1. 安装 Wireshark 后,在瘦客户端上打开 Wireshark,开始监控您的本地网络。
1. 连接到呼叫,在顶部的筛选栏中输入以下过滤器:
```
(udp.srcport == 3478 or udp.dstport == 3478) and ((ip.dst_host = "15.193.6.0/24"))
```
1. 确认您能看到座席计算机和 Amazon Connect 之间的媒体数据包流。
1. 如果看不到任何数据包:
+ 检查网络连接和防火墙规则。
+ 验证音频优化设置。
**注意**
上面显示的 IP 范围适用于美国东部(弗吉尼亚州北部) AWS 区域。有关其他区域的 IP 范围,请参阅[设置网络](ccp-networking.md)。
下图显示 IP 范围。
![\[Omnissa Horizon WebRTC 浏览器扩展程序处于启用状态时。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/omnissa-5.png)
1. 控制台日志记录
1. 对于 Windows:打开浏览器开发者工具(按 F12)。
1. 查找以下与 WebRTC 相关的用来确认 Omnissa 初始化的消息:R`TC.js is using OmnissaVDIStrategy`
配置消息类似如下示例。
```
{
"component": "softphone",
"level": "LOG",
"text": " RTC.js is using OmnissaVDIStrategy",
"time": "2025-04-03T20:47:40.460Z",
"exception": null,
"objects": [],
"line": 64,
"agentResourceId": "20c6b5a3-259e-4e18-a8a7-b962d54a6344",
"loggerId": "1743713238678-pz6yp1q4n9s",
"contextLayer": "CRM"
},
```
## 限制
不支持以下 CCP 配置:
+ 原生 CCP:原生 CCP 不支持音频优化功能。使用原生 CCP 处理的通话,其媒体流将继续通过虚拟机内部的浏览器进行传输。
+ Salesforce CTI 适配器:不支持 VDI 平台检测,这导致媒体流通过虚拟机的浏览器进行路由,而不是经过优化的客户端音频处理。
# 使用代理工作区优化 Citrix WorkSpaces、Amazon 和 Omnissa 云桌面的音频
您可以使用 Amazon Connect 代理工作区来简化亚马逊 WorkSpaces、Citrix 和 Omnissa 虚拟桌面基础设施 (VDI) 环境中高质量语音体验的交付。
Amazon Connect 支持[亚马逊 WorkSpaces、[Citrix](using-ccp-vdi-citrix-step-by-step.md) 和 [Omnis](using-ccp-vdi-omnissa-step-by-step.md) sa 云桌面的音频优化](using-ccp-vdi-workspaces.md)。此优化功能会将媒体从座席的本地桌面重定向至 Amazon Connect。它简化了座席体验,并通过减少网络跃点数提高了音频质量。您的座席可以在座席工作区中利用这些音频优化功能。
## 需要了解的重要事项
+ 对于非 SSO 用户,如果代理从 Amazon Connect 管理员网站导航到代理工作区,则会在 URL 中附加一个反向链接的查询参数。该 URL 的格式为 `https://your-instance-url/agent-app-v2?referrer=admin`。要构建该 VDI 平台查询参数,需要从 URL 中删除 referrer 参数(例如,可以使用记事本编辑该 URL)。将该 VDI 平台参数直接附加到 URL 的 `/agent-app-v2` 路径中。
+ 要在 VDI 环境内确保音频优化功能生效,座席必须始终使用该带有书签的 URL 来访问其工作区。
+ 如果您没有在实际的 VDI 环境中使用座席工作区,请不要附加该 VDI 查询参数。
+ 建议座席在 VDI 环境中进行持续联系时使用一台媒体设备。因为媒体设备信息是在联系开始时中继的,所以如果座席在正在进行的联系期间切换媒体设备,他们将无法访问更新后的设备中的音频。
## 如何在代理工作区中使用音频优化
要在代理工作区中使用音频优化,用户需要在 URL 中有一个查询参数,其中包含使用代理工作区的 VDI 环境的值。此过程向联络控制面板(CCP)发出信号,要求其对从该特定 VDI 环境到座席正在使用的本地设备的呼叫执行 WebRTC 重定向。
请完成以下步骤以使用针对 VDI 环境的查询参数。
### 在不进行 SSO 登录的情况下使用音频优化
1. 前往 Amazon Connect 代理工作区,然后将代理工作区的 URL 复制到记事本。
1. 附加一个查询参数,其键 `VDIPlatform` 和值等于您的特定 VDI 环境。例如:
1. 对于 Citrix 云桌面,查询参数的值为 `CITRIX`。以下代码显示了完整 URL 的示例:
+ `https://your-instance-url/agent-app-v2?VDIPlatform=CITRIX`
1. 对于 Amazon WorkSpaces 云桌面,查询参数的值为`AWS_WORKSPACE`。以下代码显示了完整 URL 的示例:
+ `https://your-instance-url/agent-app-v2?VDIPlatform=AWS_WORKSPACE`
1. 对于 Omnissa 云桌面,查询参数的值为 `OMNISSA`。以下代码显示了完整 URL 的示例:
+ `https://your-instance-url/agent-app-v2?VDIPlatform=OMNISSA`
1. 复制该 URL 并将其粘贴到座席的浏览器中。
1. 建议所有座席将此 URL 添加为书签。这样,座席将来只需单击已添加书签的链接即可轻松访问它。
### 在进行 SSO 登录的情况下使用音频优化
1. 如果您使用 SSO 直接登录到 Amazon Connect 代理工作区,则需要更改 SSO 设置的中继状态 URL 以附加 VDI 查询参数。为此,请完成以下步骤:
1. 将用于访问座席工作区的中继状态复制并粘贴为身份提供者(IdP)的中继状态。
1. 参见[中继状态示例 URLs](configure-saml.md#destination-relay)。在示例中,``%2Fagent-app-v2`` 是目标。
1. 将具有相应值的 `VDIPlatform` 参数添加到该中继状态。使用上面链接中的示例,Amazon Connect 座席工作区的完整中继状态 URL 如下所示:
1. 在 Citrix 桌面中
`https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fagent-app-v2?VDIPlatform=CITRIX`
1. 在 Amazon 中 WorkSpaces
`https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fagent-app-v2?VDIPlatform=AWS_WORKSPACE`
1. 在 Omnissa 中
`https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fagent-app-v2?VDIPlatform=OMNISSA`
1. 设置为`VDIPlatform`中继状态 URL 会自动在代理工作区中为正在使用的特定 VDI 环境设置音频优化。
1. 从您的 IdP 登录,并确认 ``VDIPlatform`` 作为查询参数存在。
# 联络中心座席如何连接到联系人控制面板 (CCP)
当代理登录时,CCP 会尝试连接到 AWS ipranges.json 文件中列出的亚马逊 EC2 信号终端节点、用于媒体的 Amazon Connect 以及 CloudFront 图像等网络构件的 Amazon Connect。如果座席注销或关闭浏览器,会在座席下次登录时重新选择端点。如果连接到 Amazon EC2 或 Amazon Connect 失败,CCP 上会显示错误。如果连接 CloudFront 失败,则按钮和图标等网页元素,甚至页面本身都无法正确加载。
**注意**
如果您在登录时看到**会话已过期**消息,则可能只需要刷新会话令牌即可。访问您的身份提供商并登录。刷新 Amazon Connect 页面。如果您仍然收到此消息,请联系您的 IT 团队。
**出站呼叫**
+ 当发出出站呼叫时,事件信号会发送到 Amazon EC2 端点,然后端点会与 Amazon Connect 通信以发出呼叫。成功完成拨号尝试后,座席会进行桥接,从而将呼叫锚定到该座席的 Amazon Connect 端点。任何外部转接或会议都会使用该锚点,直到呼叫断开。锚定有助于缩短 PSTN 延迟。
**入站呼叫**
+ 当收到入站呼叫时,会将其锚定到一个 Amazon Connect 端点。任何外部转接或会议都会使用该锚点,直到呼叫断开。
+ 当一个座席处于可用状态时,该呼叫会通过新的 Amazon EC2 连接推动到其浏览器并提供给该座席。
+ 当该座席接受呼叫且外部设备已应答或 CCP 确定它可以接收呼叫时,会建立与 Amazon Connect 的连接以便将呼叫媒体发送给该座席。
**转接的呼叫**
+ 在转接呼叫时,会将一个作为向指定转接目标发出出站呼叫信号的转接事件发送到 Amazon EC2,然后由它与 Amazon Connect 通信以发出呼叫。
+ 在呼叫接通后,座席会进行桥接,将呼叫锚定到该座席的现有 Amazon Connect 端点。任何外部转接或会议都会使用该锚点,直到呼叫断开。
+ 如果该座席在桥接呼叫后挂起,则该座席与呼叫的连接会终止,但 Amazon Connect 会在 Amazon Connect 锚点上保留呼叫,直至远端断开连接。当呼叫断开时,会为该呼叫生成并提供联系记录和相关的录音。
**错过的呼叫**
+ 如果呼叫正在等待座席应答,则会使用客户队列流逻辑,直至有可用的座席且已将该呼叫成功路由给该座席。
+ 如果座席不接受该呼叫,该座席将进入错过呼叫状态,无法接受呼叫,直到该座席或呼叫中心经理将其状态再次更改为可用。在呼叫等待座席期间,呼叫方不会听到铃响,直到按照客户队列流逻辑连接到一位座席。
+ 如果座席配置为[跨通道并发](channels-and-concurrency.md),则必须先清空错过的联系人,然后才能将其他通道上的其他联系人路由给他们。例如,如果他们配置为同时处理语音和聊天,但他们错过了一个聊天,那么他们必须先清空该联系人,然后任何其他语音或聊天联系才能路由给他们。
**Panic 注销**
+ 如果运行 CCP 的浏览器窗口关闭,呼叫仍会保持连接状态,但打开浏览器并重新登录并不能重新建立媒体连接。您仍然可以转接或终止呼叫,但座席和呼叫方之间不会建立音频路径。
# 联系人控制面板(CCP)如何利用 WebRTC
本高级主题适用于可能对联系人控制面板(CCP)如何传递语音通话感兴趣的 IT 管理员。其中还提供了一些网络细节。
CCP 使用 WebRTC 作为底层技术,以实现联络中心座席和客户之间的实时通信。它使座席能够直接从其 Web 浏览器管理入站和出站呼叫以及视频会议。
**Topics**
+ [WebRTC 是什么?](#whatis-webrtc)
+ [术语](#ccp-leverages-webrtc-terminology)
+ [WebRTC 的工作原理](#how-webrtc-works)
+ [STUN、TURN 和 ICE 如何协同工作](#how-stun-turn-ice-works)
+ [最佳实践](#webrtc-ccp-bp)
## WebRTC 是什么?
WebRTC 是一项开源技术规范,用于通过简单的方式实现浏览器和移动应用程序之间的实时通信 (RTC)。 APIs
WebRTC 使用对等互连技术在连接的对等点之间进行实时数据交换。它提供 human-to-human交互所需的低延迟媒体流。
WebRTC规范包括一组IETF协议,包括建立[交互式连接](https://www.ietf.org/rfc/rfc5245.txt)[、使用NAT周围的中继进行遍历(TURN)[和用于建立连接的NAT会话遍历实用程序](https://www.ietf.org/rfc/rfc5389.txt)(](https://datatracker.ietf.org/doc/html/rfc5766)STUN)。 peer-to-peer除此之外,还包括用于可靠和安全的实时媒体和数据流的协议规范。
因为 Amazon Connect 使用 WebRTC,所以您无需为实时通信构建和维护复杂的基础设施。它使您能够通过Amazon Connect快速部署全渠道客户参与解决方案,同时受益于WebRTC提供的低延迟、高质量 peer-to-peer的媒体流和安全连接。
## 术语
NAT 的会话遍历实用工具 (STUN)
一种协议,用于发现您的公有地址并确定路由器中阻止与对等方直接连接的任何限制。
管理 STUN 端点的组件。这些端点使应用程序能够在其位于 NAT 或防火墙后面时发现其公有 IP 地址。
使用中继绕过 NAT 的遍历 (TURN)
通过打开与 TURN 服务器的连接并通过该服务器中继所有信息来绕过对称 NAT 限制的服务器。
管理 TURN 端点的组件。当应用程序无法流式传输媒体时,端点通过使用云来启用媒体中继 peer-to-peer。
会话描述协议(SDP)
一种描述连接的多媒体内容的标准,例如分辨率、格式、编解码器、加密等,以便一旦传输数据,两个对等方就可以相互理解。
SDP 提议
由代理发送的 SDP 消息,代理生成会话描述以创建或修改会话。它描述所需媒体通信的各个方面。
SDP 应答
应答者响应从提议人收到的提议而发送的 SDP 消息。应答指出了已接受的各个方面。例如,提议中的所有音频和视频流是否都被接受。
交互式连接建立 (ICE)
允许您的 Web 浏览器与对等方连接的框架。
ICE 候选项
发送对等方能够用于通信的方法。
对等
任何配置为与 WebRTC 进行实时、双向通信的设备或应用程序(例如移动或 Web 应用程序)。
正在发送信号
信令组件管理WebRTC信令端点,这些端点允许应用程序安全地相互连接以进行实时媒体流。 peer-to-peer
## WebRTC 的工作原理
WebRTC 使用信令协议, JavaScript 例如浏览器的会话建立协议 (JSEP) 或基于 /XMPP 构建的自定义协议,来 WebSockets启动和管理通信会话。它还使用编解码器对音频和视频数据进行编码和解码,使用安全实时传输协议 (SRTP) 来加密媒体流以确保隐私,并使用ICE、STUN和TURN协议在NAT网关和防火墙之间导航和建立 peer-to-peer连接。
## STUN、TURN 和 ICE 如何协同工作
让我们考虑这样一个场景:座席 CCP(联系人控制面板)是对等体 A,Amazon Connect 是对等 B,使用 WebRTC 进行双向媒体流(例如,语音通话)。
以下是座席 CCP 想要与 Amazon Connect 建立连接时会发生的情况:
1. 座席 CCP 生成一个 SDP 选件,其中包含有关所需会话的信息,例如要使用的编解码器、是音频还是视频会话等。它还包括一个 ICE 候选列表,Amazon Connect 可以尝试使用这些 IP/port 配对来连接代理 CCP。
1. 为了收集 ICE 候选项,CCP 向 STUN 服务器发出了一系列请求。STUN 服务器返回发起请求的公有 IP 地址和端口对。座席 CCP 还为 Amazon Connect 的 TURN 服务创建了一个 TURN 通道,以获取媒体中继地址。此中继地址是一 IP/port 对,可以在代理 CCP 和 Amazon Connect 中的其他媒体服务之间转发数据包。代理CCP将每 IP/port 对添加到ICE候选列表中。接下来,代理 CCP 通过信令通道将 SDP 报价发送给 Amazon Connect。 WebSocket
1. Amazon Connect 按照相同的过程生成 SDP 答案:它收集 ICE 候选者,然后通过将他们与 SDP 答案一起发送给代理 CCP。 WebSocket交换后 SDPs,代理 CCP 和 Amazon Connect 会执行一系列连接检查。双方都从 IP/port 对方的 SDP 中选出一对候选人并向其发出 STUN 请求。如果收到响应,则该 IP/port 对将被标记为有效的 ICE 候选对。
1. 完成所有 IP/port 配对的连接检查后,代理 CCP 和 Amazon Connect 协商并决定其中一个用于媒体流的有效配对。
下图演示 CCP 和 Amazon Connect 之间使用 WebRTC 进行的通信。
![\[CCP 和 Amazon Connect 之间使用 WebRTC 的通信流。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/webrtc-diagram.png)
## 最佳实践
+ 为了获得最可靠和最佳的音频体验,强烈建议确保代理工作站和代理工作站之间的媒体流量直接交换, AWS 并且不会通过网络加速器跳跃 VPNs 或其他网络加速器跳跃。
+ 为确保您的企业能够成功促进 WebRTC 连接并缓解错误行为,请确保将端口 3478(发送/接收)上的传入 UDP 流量列入允许列表。有关更多信息,请参阅 [选项 1(推荐):将 Amazon EC2 和 CloudFront IP 范围要求替换为域名许可名单](ccp-networking.md#option1)。在表中,查阅 `TurnNlb-*.elb.region.amazonaws.com` 那行。
+ 如果您使用的是 [选项 2(不推荐):允许 IP 地址范围](ccp-networking.md#option2),建议您使用以下方法来缓解错误行为:
+ 监控您的企业为 Amazon Connect 所设置的 IP 范围允许列表。
+ 确保监控 IP 范围内的变化。
+ 确保列表中的任何新增内容都附有 3478 (UDP) 端口和协议允许流量。 SEND/RECEIVE
+ 迁移到生产环境之前,请执行以下操作
+ 使用 [Amazon Connect 端点连接测试工具](check-connectivity-tool.md)测试 WebRTC 连接。此工具可帮助您确定能否从座席工作站访问 Amazon Connect WebRTC 媒体端点。
+ 测试和跟踪[网络环境和本地网络](network-ts.md#investigate-ndc)架构(例如防火墙更新、边缘路由器和 VPNs)的变化。
+ 如果您使用的是无状态防火墙,请确保已按照[无状态防火墙](ccp-networking.md#stateless-firewalls)中所述将临时端口范围添加到允许列表中。
# 使用 Amazon Connect 中的集成应用程序的允许列表
必须明确允许针对特定实例嵌入 CCP 的所有域跨域访问该实例。例如,如果要与 Salesforce 集成,您必须将 Salesforce Visualforce 域列入允许列表。
**允许域 URL**
1. 打开 Amazon Connect 控制台,网址为[https://console.aws.amazon.com/connect/](https://console.aws.amazon.com/connect/)。
1. 从**实例别名**中选择实例的名称。
1. 在导航窗格中,选择**已批准的源**。
1. 选择**添加源**。
1. 键入 URL,然后选择**添加**。
**注意**
当 Amazon Connect 嵌入到其他应用中时,用户可能会在关闭并重新打开 Amazon Connect 再登录时收到**会话已过期**错误消息。
如果您在登录时看到**会话已过期**消息,则可能只需要刷新会话令牌即可。访问您的身份提供商并登录。刷新 Amazon Connect 页面。如果您仍然收到此消息,请联系您的 IT 团队。
# 更新您的 Amazon Connect 域
2021 年 3 月 31 日之前创建的 Amazon Connect 实例的域如下所示:
+ https://*your-instance-alias*。 **awsapps.com/connect/**
如果您拥有其中一个域,我们强烈建议您立即进行更改。将其更改为:
+ https://*your-instance-alias*。 **my.connect.aws/**
在不久的将来,我们计划将 AWS 控制台中显示的所有剩余旧域名(包括紧急访问网址)自动更改为新 URL。
+ 如果有人尝试访问使用旧域的网址,他们将被自动重定向到新域。
+ 如果您有任何自定义代码、连接器或防火墙,则您有责任将所有引用您的 Amazon Connect 网址从旧域更新到新域。
+ 从旧域到新域的自动重定向仅适用于您可能意外错过的任何引用,例如,用户仍在点击旧收藏夹。
**执行本主题中的步骤,帮助您在我们自动更改您的旧域时做好准备**(即将流量从旧域重定向到新域)。
例如,如果您的旧链接是这样的:
+ https://*examplecorp*。 **awsapps.com/connect/**
**更改为:**
+ https://*examplecorp*。 **my.connect.aws/**
如果您使用防火墙、SAML 或其他连接器(例如 Salesforce),请继续阅读本主题。本主题提供了迁移到新域时需要知道的信息。
**Topics**
+ [自定义代码和集成](#new-domain-custom)
+ [防火墙允许列表](#new-domain-allow-list)
+ [关于 Amazon Connect 访问网址和紧急登录](#about-access-url)
+ [个人设置](#new-domain-settings)
+ [传输层安全性协议(TLS)](#new-domain-tls)
## 自定义代码和集成
如果您有任何涉及 Amazon Connect 的自定义内容,请查看其代码,并用新域替换对以前域的硬编码引用。例如,如果您有自定义的联系人控制面板 (CCP) 集成,则它可能依赖于嵌入式 URLs。以下是更新其他类型集成的提示。
### Active Directory
如果您使用 Active Directory 来管理身份,并且拥有 [Amazon Connect 托管或客户托管](connect-identity-management.md)的实例,请将 [ccpUrl](https://github.com/amazon-connect/amazon-connect-streams#connectcoreinitccp) 更新到新域。用户下次访问 CCP 时,系统将提示他们登录到新域(仅一次)。
### SAML 2.0
如果您使用 SAML 2.0 管理身份,请执行以下步骤:
+ 将 [Amazon Connect Streams](https://github.com/amazon-connect/amazon-connect-streams#connectcoreinitccp) 中的 `ccpUrl` 更新到新域 `your-instance-alias.my.connect.aws/ccp-v2`。
+ 为身份提供商配置中继状态时,请使用 `new_domain=true` 更新 `loginUrl`。
+ 您必须在 URL 中为目标和 new\$1domain 使用 [URL 编码](https://en.wikipedia.org/wiki/Percent-encoding)。
如果您有使用 SAML 设置的旧实例,请执行以下步骤:
1. 如果 `loginUrl` 包含 `destination=%2Fconnect%2Fyour-destination-endpoint`,则删除新域目标中的 `%2Fconnect` 端点前缀。
1. 在 `destination=%2Fyour-destination-endpoint` 之前或之后加上 `new_domain=true`。应该用 `&` 隔开。
1. 如果 `loginUrl` 不包含目标或任何其他参数,请在中继状态 URL 后添加 `?new_domain=true`。
以下是有效中继状态的示例 URLs:
+ `https://us-east-1.console.aws.amazon.com/connect/federate/your-instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true`
+ `https://us-east-1.console.aws.amazon.com/connect/federate/your-instance-id?new_domain=true`
**注意**
如果本身 RelayState 是另一个 URL 的参数,则除了之前在上执行的任何 URL 编码之外,还必须对整 RelayState 个 URL 进行编码。`destination`例如,如果派生 RelayState的 URL 是`https://us-east-1.console.aws.amazon.com/connect/federate/your-instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true`,并且需要将其插入`https://my.idp.com/signin?RelayState=`,那么最终的 URL 应该看起来像`https://my.idp.com/signin?RelayState=https%3A%2F%2Fus-east-1.console.aws.amazon.com%2Fconnect%2Ffederate%2Fyour-instance-id%3Fdestination%3D%252Fccp-v2%252Fchat%26new_domain%3Dtrue.`。URL 编码对于允许在[查询字符串](https://en.wikipedia.org/wiki/Query_string)中正确解析它至关重要。
### 其他连接器
如果你使用 Salesforce、Zendesk 或其他连接器: ServiceNow
1. 升级到连接器的最新版本。
1. 在您的连接器中,转至设置并更新存储在其中的 Amazon Connect 域。如果适用,请按照 SAML 提示进行操作。
## 防火墙允许列表
将以下新域添加到您的允许列表:
+ *your-instance-alias*.my.connect.aws
+ \$1.static.connect.aws
如果您正在测试或使用新的登录体验,请将以下域名添加到您的许可名单。有关更多信息,请参阅 [测试全新 Amazon Connect 登录体验](new-signin-experience.md)。
+ \$1.apps.signin.aws
+ \$1.signin.aws
+ \$1.signin-fips。 amazonaws-us-gov.com
+ \$1.apps.signin-fips。 aws-us-gov.com
+ \$1.apps.signin。 aws-us-gov.com
+ \$1.threat-mitigation.aws.amazon.com
+ \$1.s3.dualstack.\$1.amazonaws.com
**重要**
请勿删除已在允许列表中的域,例如以下域:
*your-instance-alias*.awsapps。 com/connect/ccp-v2
*your-instance-alias*.awsapps。 com/connect/api
\$1.cloudfront.net
将这些域保留在允许列表中将确保平稳过渡。您可以在迁移完成后再删除它们。
有关设置允许列表的更多信息,请参阅 [设置网络](ccp-networking.md)。
## 关于 Amazon Connect 访问网址和紧急登录
我们完成域名迁移后, URLs 将在 AWS 控制台中更新 Amazon Connect 访问网址和紧急登录信息。在此之前,它们将反映旧域的情况。
下图显示了访问网址在 **Amazon Connect 虚拟联络中心实例**页面上的位置。即使您已采取措施更新域,此网址仍会继续显示旧域。当旧域流量开始重定向到新域时,此页面上的网址将自动更新。**请不要使用此网址登录**;请告诉您的团队他们应该使用的新网址。
![\[Amazon Connect 控制台上的访问地址。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/access-url.png)
下图显示了紧急登录网址在**账户概述**页面上的位置。在流量开始自动重定向到新域之前,此网址将指向旧域。除非**是紧急情况,否则请不要使用此网址登录**。请从与新域相关的登录页面使用用户名和密码登录。
![\[账户概览页面上的紧急登录链接。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/emergency-login.png)
## 个人设置
将即将进行的更改通知给您的团队,以便他们采取措施防止混乱和中断。如果您的内部文档包含链接,请查看并进行相应更新。建议团队成员更新*登录页面*的浏览器书签和生产力应用(例如 Alfred)。
为确保您的团队实现无缝过渡,建议您采取措施,以识别任何网址引用。
## 传输层安全性协议 (TLS)
如果您的座席使用的是 [Amazon Connect 支持的浏览器](connect-supported-browsers.md),则无需执行任何操作。例如,如果您使用的是最新版本的 Chrome 浏览器和 Firefox 浏览器,则无需执行任何操作。
如果您使用的是 TLS 1.1 及以下版本,则需要升级工具以支持 TLS 1.1\$1 协议。
我们要求您的 TLS 协议为 TLS 1.2,建议使用 TLS 1.3。新域不支持 TLS 1.1 和 TLS 1.0。
建议您查看新的 TLS 策略:[ALB FS-1-2-Res-2019-08](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html#tls-security-policies)。作为参考,您可以在此处找到之前的 TLS 策略:[CloudFront TLSv1](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html#secure-connections-supported-ciphers)。