0

我正在 AWS 中设置我们的电话系统,并且我们正在使用 AWS Single Sign On 进行我们的主要 SAML 身份验证。这对于正常的 cli 和控制台访问来说效果很好,但对于通过 SSO 云应用程序配置实施 Amazon Connect 来说有点困难。

背景

我已经使用单个 Amazon Connect 实例完成了概念验证,并且能够将登录与多个不同的权限集联合起来,以模拟单个实例的admindeveloperuser访问。这一直很好,直到我开始添加其他实例并且每次任何用户permission set尝试登录 Amazon Connect 时,他们都会Session Expired进入 Connect 屏幕。

我们的设置如下:

  • 根账户包含 AWS SSO 目录
    • Dev Account 在东部有 1 个 Connect 实例
    • QA 账户在东部和西部共有 2 个 Connect 实例
    • Prod 帐户在东部和西部共有 2 个 Connect 实例

我一直在阅读的许多文档似乎都假设 Amazon Connect 实例与 Amazon SSO 服务位于同一账户中。此外,文档还提到IAM Identity Providers为每个 Amazon Connect 实例的 SAML 元数据文件创建额外的,以及允许 SSO 用户访问该实例的关联角色。我看到这将在单个帐户中起作用,但我不明白如何采用访问角色并将其作为permissions policyAWS SSO 中的登录实例的用户组实施。

我已经尽可能地按照Amazon Connect SAML 设置指南配置了所有内容,并且我正在对权限策略问题进行故障排除以配置访问权限,我只是不知所措。

如果有人以前有过 Amazon SSO 经验,或者使用 Amazon Connect 做过类似的事情,我们将不胜感激。我只是希望能够验证这在 Amazon SSO 的当前迭代中是否可行(授予其更新的服务),或者我们需要为 Amazon Connect 构建和集成第 3 方 SSO。

谢谢!

4

1 回答 1

1

我们最近有这种设置和要求,但仍处于测试阶段,但到目前为止,它按预期工作。

在您链接的Amazon Connect SAML 指南中,缺少关于属性映射的信息(步骤 10

更改自

对此

样本值:

arn:aws:iam::123456301789:saml-provider/AWSSSO_DevelopmentConnect,arn:aws:iam::123456301789:role/AmazonConnect_Development_Role

设置

  • 根 AWS

    • 使用 AWS SSO 配置
    • 在 AWS SSO 页面中,您可以在此处拥有 1 个或多个 Amazon Connect 应用程序
      • AmazonConnect-开发
      • AmazonConnect-QAEast
      • AmazonConnect-QAWest

  • 开发 AWS:

    • 您已设置 Amazon Connect
    • AmazonConnect-Development 作为实例名称(记录 ARN)
    • 创建一个新的身份提供商(例如:AWSSSO_DevelopmentConnect)
    • 创建策略(附加在角色中)
    • 创建角色(例如:AmazonConnect_Development_Role)
    • 在此处查看更多政策内容
    • 在 Root AWS 中,将您的 AmazonConnect-Development 应用程序配置为具有与我上面的示例值相同的属性映射模式。
    • 您还可以为希望将用户重定向到特定 Amazon Connecct 应用程序的中继状态URL 指定。

  • xxx AWS:

    • 将应用与上述相同的步骤

要点

  • 对于每个 AWS 账户:
    • 您将需要创建身份提供者,并使用模式命名
    • 创建要附加到角色中的策略
    • 创建角色并选择 SAML 2.0 联合
    • 选中:允许编程和 AWS 管理控制台访问
    • 将身份提供者与角色链接
  • 对于您在 AWS SSO 页面中配置的应用程序,请确保其他属性映射具有正确的值
于 2019-12-18T23:43:11.967 回答