我正在AWS中设置我们的电话系统,我们正在使用AWS单登录进行主要SAML身份验证。这对于普通CLI和控制台访问效果很好,但在通过SSO Cloud应用程序配置实现Amazon Connect的努力。
背景
我已经使用了一个Amazon Connect实例进行了概念证明,并能够使用多个不同的权限集结合登录,以模拟单个实例的admin,developer和user访问。这效果很好,直到我开始添加其他实例,并且每次用户permission set试图登录到Amazon Connect时,它们都会在连接屏幕上获得Session Expired。
我们的设置如下:
- 根帐户包含AWS SSO目录
- 开发帐户在东方有1个连接实例
- QA帐户在东部和西部有2个连接实例
- 产品帐户有2个连接实例在东西方的总数
我一直在阅读的许多文档似乎都假设Amazon Connect实例与Amazon SSO服务相同。此外,该文档还提到了为每个Amazon Connect Instance的SAML元数据文件创建其他IAM Identity Providers,以及允许SSO用户可以访问该实例的角色。我看到它在一个帐户中可以在哪里工作,但是我不明白如何采用访问角色并将其实现为AWS SSO中的permissions policy,用于登录该实例的用户组。
我已经将所有内容配置为Amazon Connect SAML设置指南,并且我正在努力解决权限策略内容以配置访问,我只是亏本。
如果任何人都有以前的Amazon SSO经验,或者对Amazon Connect进行了类似的操作,这将不胜感激。我只想能够验证这在亚马逊SSO的当前迭代中是否可行(授予其较新的服务(,或者我们需要为Amazon Connect架构和集成第三方SSO。
谢谢!
我们最近有这种设置和要求,并且仍处于测试阶段,但到目前为止,它正常工作。
在 Amazon Connect SAML指南您链接的中,其中缺少有关属性映射的信息( step 10 (
从更改:
- 字段:https://aws.amazon.com/saml/attributes/role
- 值:ARN:AWS:IAM ::< 12-Digit-Account_id>:Saml-Provider/,Arn:AWS:IAM ::< 12-Digit-Account_Id>:real/
到此:
- 字段:https://aws.amazon.com/saml/attributes/role
- 值:ARN:AWS:IAM :: account-id :saml-provider/ IDP_PROVIDER_NAME ,arn:aws:aws:iam :: 帐户> account-ID / roun_name
样本值:
arn:aws:iam::123456301789:saml-provider/AWSSSO_DevelopmentConnect,arn:aws:iam::123456301789:role/AmazonConnect_Development_Role
设置:
root aws
- 配置为AWS SSO
- 在AWS SSO页面中,您可以在此处拥有1个或更多的Amazon Connect应用程序
- AmazonConnect开发
- AmazonConnect-Qaeast
- AmazonConnect-Qawest
开发AWS:
- 您已经设置了Amazon Connect
- AmazonConnect开发作为实例名称(记录ARN(
- 创建一个新的身份提供商(对于ex:awssso_developmentConnect(
- 创建一个策略(待在角色中(
- 创建一个角色(对于Ex:AmazonConnect_Development_role(
- 有关策略内容的更多信息
- 在root AWS中,将您的AmazonConnect开发应用程序配置为具有与我上面的示例值相同的属性映射模式。
- 您还指定 pellay状态 url,您希望将用户重定向到特定的Amazon Connecct应用程序。
xxx AWS:
- 相同的步骤将被应用于上述
关键点:
- 对于每个AWS帐户:
- 您需要创建身份提供者,用模式命名
- 创建一个要在角色中附加的策略
- 创建角色并选择SAML 2.0联合会
- 检查:允许编程和AWS管理控制台访问
- 将身份提供商与角色联系起来
- 对于您在AWS SSO页面中配置的应用程序,请确保附加属性映射具有正确的值