本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 將您的身分提供者 (IdP) 與 Amazon Connect 全球備援 SAML 登入端點整合。
若要讓您的客服人員登入一次,並登入兩個 AWS 區域以處理目前作用中區域的聯絡人,您需要設定 IAM 設定以使用 SAML 端點中的全域登入。
## 開始之前
您必須為您的 Amazon Connect 執行個體啟用 SAML,才能使用 Amazon Connect 全球恢復能力。如需有關使用 IAM 聯合的入門資訊,請參閱[啟用 SAML 2.0 聯合身分使用者存取 AWS 管理主控台](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)。
## 須知事項
+ 只有在使用全域登入端點時,才支援代理程式容錯移轉。
+ 若要執行本主題中的步驟,需要您的執行個體 ID。如需有關如何尋找的說明,請參閱 [尋找您的 Amazon Connect 執行個體 ID 或 ARN](find-instance-arn.md)。
+ 您還需要知道 Amazon Connect 執行個體的來源區域。如需有關如何尋找的說明,請參閱 [如何找到您的 Amazon Connect 執行個體來源區域](create-replica-connect-instance.md#how-to-find-source-region-of-instances)。
+ 如果您要在 iframe 中嵌入 Connect 應用程式,請確保您的網域同時列在來源和複本執行個體的核准來源清單中,以使全域登入正常運作。
若要在執行個體層級設定核准來源,請遵循 [在 Amazon Connect 中使用整合式應用程式的允許清單](app-integration.md) 中的步驟。
+ 必須已在來源和複本*兩者* Amazon Connect 執行個體中建立客服人員,且使用者名稱與身分提供者 (IdP) 的角色工作階段名稱相同。否則,您會收到 `UserNotOnboardedException` 例外狀況,且可能會失去執行個體之間的客服人員備援功能。
+ 在客服人員嘗試登入之前,您必須先將客服人員與流量分佈群組建立關聯。否則,客服人員將登入失敗,並顯示 `ResourceNotFoundException`。如需有關如何設定流量分佈群組並將客服人員與其關聯的相關資訊,請參閱 [將客服人員與跨多個 AWS 區域的 Amazon Connect 執行個體建立關聯](associate-agents-across-regions.md)。
+ 當您的客服人員使用新的 SAML 登入 URL 聯合登入 Amazon Connect 時,無論流量分佈群組中的 `SignInConfig` 如何設定,Amazon Connect 全球恢復能力都會嘗試將客服人員登入您的來源和複本區域/執行個體。您可以通過檢查 CloudTrail 日誌來驗證。
+ 預設流量`SignInConfig`分佈群組中的分佈只會決定 AWS 區域 用於促進登入的分佈。無論您的 `SignInConfig` 分佈設定方式為何,Amazon Connect 一律會嘗試將客服人員登入 Amazon Connect 執行個體的兩個區域。
+ 複寫 Amazon Connect 執行個體後,只會為您的執行個體產生一個 SAML 登入端點。此端點一律包含 URL AWS 區域 中的來源。
+ 將個人化 SAML 登入 URL 與 Amazon Connect 全球恢復能力搭配使用時,您不需要設定轉送狀態。
## 如何整合您的身分提供者
1. 當您使用 [ReplicateInstance](https://docs.aws.amazon.com/connect/latest/APIReference/API_ReplicateInstance.html) API 建立 Amazon Connect 執行個體的複本時,系統會為您的 Amazon Connect 執行個體產生個人化的 SAML 登入 URL。產生的 URL 格式如下:
`https://instance-id.source-region.sign-in.connect.aws/saml`
1. *執行個體 ID* 是執行個體群組中任一執行個體的執行個體 ID。來源區域和複本區域中的執行個體 ID 相同。
1. *source-region* 對應至呼叫 [ReplicateInstance](https://docs.aws.amazon.com/connect/latest/APIReference/API_ReplicateInstance.html) API 的來源 AWS 區域。
1. 將下列信任政策新增至您的 IAM 聯合角色。使用全域登入 SAML 端點的 URL,如下列範例所示。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Federated":[
"arn:aws:iam::111122223333:saml-provider/MySAMLProvider"
]
},
"Action":"sts:AssumeRoleWithSAML",
"Condition":{
"StringLike":{
"SAML:aud":[
"https://instance-id.source-region.sign-in.connect.aws/saml*"
]
}
}
}
]
}
```
------
**注意**
`saml-provider-arn` 是 IAM 中建立的身分提供者資源。
1. 在 IAM 聯合角色中授予 `InstanceId` 對 `connect:GetFederationToken` 的存取權。例如:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GetFederationTokenAccess",
"Effect": "Allow",
"Action": "connect:GetFederationToken",
"Resource": "*",
"Condition": {
"StringEquals": {
"connect:InstanceId": "your-instance-id"
}
}
}
]
}
```
------
1. 使用下列屬性和值字串,將屬性映射新增至您的身分提供者應用程式。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/integrate-idp.html)
1. 設定身分提供者的聲明消費者服務 (ACS) URL,以指向您的個人化 SAML 登入 URL。將下列範例用於 ACS URL:
```
https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination
```
1. 在 URL 參數中設定下列欄位:
+ `instanceId`:您 Amazon Connect 執行個體的識別符。如需有關如何尋找執行個體 ID 的說明,請參閱 [尋找您的 Amazon Connect 執行個體 ID 或 ARN](find-instance-arn.md)。
+ `accountId`:Amazon Connect 執行個體所在的 AWS 帳戶 ID。
+ `role`:設定用於 Amazon Connect 聯合的 SAML 角色名稱或 Amazon Resource Name (ARN)。
+ `idp`:設定 IAM 中 SAML 身分提供者的名稱或 Amazon Resource Name (ARN)。
+ `destination`:設定為客服人員在登入後登陸執行個體的可選路徑 (例如:`/agent-app-v2`)。