如何在顶级账户中使用 AWS Single Sign On 配置来自不同账户的多个 AWS Connect 实例?
How do I configure multiple AWS Connect instances from different accounts with AWS Single Sign On in a top level account?
我正在 AWS 中设置我们的电话系统,我们正在使用 AWS Single Sign On 进行主要的 SAML 身份验证。这对于正常的 cli 和控制台访问来说效果很好,但对于通过 SSO 云应用程序配置实施 Amazon Connect 来说有点困难。
背景
我已经用单个 Amazon Connect 实例完成了概念验证,并且能够将登录与许多不同的权限集联合起来以模拟 admin、developer 和 user 访问单个实例。在我开始添加额外的实例之前,这一切正常,每次任何用户 permission set 尝试登录 Amazon Connect 时,他们都会在连接屏幕上看到 Session Expired。
我们的设置如下:
- 根账户包含 AWS SSO 目录
- Dev Account 在东部有 1 个 Connect 实例
- QA 帐户在东部和西部总共有 2 个 Connect 实例
- Prod 帐户在东部和西部总共有 2 个 Connect 实例
我阅读的很多文档似乎都假定 Amazon Connect 实例与 Amazon SSO 服务位于同一个帐户中。此外,该文档还提到为每个 Amazon Connect 实例的 SAML 元数据文件创建额外的 IAM Identity Providers,以及允许 SSO 用户访问该实例的关联角色。我看到这在单个帐户中的工作位置,但我不明白如何在 AWS SSO 中为登录实例的用户组采用访问角色并将其实现为 permissions policy。
我已将所有内容配置得尽可能接近 Amazon Connect SAML Setup Guide,并且我正在对权限策略内容进行故障排除以配置访问权限,我只是不知所措。
如果有人以前有过 Amazon SSO 经验,或者用 Amazon Connect 做过类似的事情,我们将不胜感激。我只想验证这在 Amazon SSO 的当前迭代中是否可行(授予其更新的服务),或者我们需要为 Amazon Connect 构建和集成第 3 方 SSO。
谢谢!
我们最近有这种设置和要求,仍处于测试阶段,但到目前为止,它按预期工作。
在您链接的 Amazon Connect SAML 指南 中,缺少关于属性映射的信息(步骤 10)
更改自:
- 字段:https://aws.amazon.com/SAML/Attributes/Role
- 值:
arn:aws:iam::<12-digit-account_id>:saml-provider/,arn:aws:iam::<12-digit-account_id>:role/
致此:
- 字段:https://aws.amazon.com/SAML/Attributes/Role
- 值:
arn:aws:iam::ACCOUNT-ID:saml-provider/IDP_PROVIDER_NAME,arn:aws:iam::帐户 ID:角色/ROLE_NAME
示例值:
arn:aws:iam::123456301789:saml-provider/AWSSSO_DevelopmentConnect,arn:aws:iam::123456301789:role/AmazonConnect_Development_Role
设置:
根 AWS
- 配置了 AWS SSO
- 在 AWS SSO 页面中,您可以在此处拥有 1 个或多个 Amazon Connect 应用程序
- AmazonConnect-开发
- AmazonConnect-QAEast
- AmazonConnect-QAWest
开发 AWS:
- 您已设置 Amazon Connect
- AmazonConnect-Development 作为实例名称(记录 ARN)
- 创建一个新的身份提供者(例如:AWSSSO_DevelopmentConnect)
- 创建策略(附加到角色中)
- 创建角色(例如:AmazonConnect_Development_Role)
- 查看更多here政策内容
- 在 Root AWS 中,将您的 AmazonConnect-Development 应用程序配置为具有与我上面的示例值相同的 Attribute Mapping 模式。
- 您还指定了 中继状态 URL 以便将用户重定向到特定的 Amazon Connectict 应用程序。
xxx AWS:
- 将应用与上述相同的步骤
要点:
- 对于每个 AWS 账户:
- 您将需要创建身份提供者,用模式命名它
- 创建要附加到角色中的策略
- 创建角色并选择 SAML 2.0 联盟
- 选中:允许编程和 AWS 管理控制台访问
- Link 具有角色的身份提供者
- 对于您在 AWS SSO 页面中配置的应用程序,确保额外的属性映射具有正确的值
我正在 AWS 中设置我们的电话系统,我们正在使用 AWS Single Sign On 进行主要的 SAML 身份验证。这对于正常的 cli 和控制台访问来说效果很好,但对于通过 SSO 云应用程序配置实施 Amazon Connect 来说有点困难。
背景
我已经用单个 Amazon Connect 实例完成了概念验证,并且能够将登录与许多不同的权限集联合起来以模拟 admin、developer 和 user 访问单个实例。在我开始添加额外的实例之前,这一切正常,每次任何用户 permission set 尝试登录 Amazon Connect 时,他们都会在连接屏幕上看到 Session Expired。
我们的设置如下:
- 根账户包含 AWS SSO 目录
- Dev Account 在东部有 1 个 Connect 实例
- QA 帐户在东部和西部总共有 2 个 Connect 实例
- Prod 帐户在东部和西部总共有 2 个 Connect 实例
我阅读的很多文档似乎都假定 Amazon Connect 实例与 Amazon SSO 服务位于同一个帐户中。此外,该文档还提到为每个 Amazon Connect 实例的 SAML 元数据文件创建额外的 IAM Identity Providers,以及允许 SSO 用户访问该实例的关联角色。我看到这在单个帐户中的工作位置,但我不明白如何在 AWS SSO 中为登录实例的用户组采用访问角色并将其实现为 permissions policy。
我已将所有内容配置得尽可能接近 Amazon Connect SAML Setup Guide,并且我正在对权限策略内容进行故障排除以配置访问权限,我只是不知所措。
如果有人以前有过 Amazon SSO 经验,或者用 Amazon Connect 做过类似的事情,我们将不胜感激。我只想验证这在 Amazon SSO 的当前迭代中是否可行(授予其更新的服务),或者我们需要为 Amazon Connect 构建和集成第 3 方 SSO。
谢谢!
我们最近有这种设置和要求,仍处于测试阶段,但到目前为止,它按预期工作。
在您链接的 Amazon Connect SAML 指南 中,缺少关于属性映射的信息(步骤 10)
更改自:
- 字段:https://aws.amazon.com/SAML/Attributes/Role
- 值: arn:aws:iam::<12-digit-account_id>:saml-provider/,arn:aws:iam::<12-digit-account_id>:role/
致此:
- 字段:https://aws.amazon.com/SAML/Attributes/Role
- 值: arn:aws:iam::ACCOUNT-ID:saml-provider/IDP_PROVIDER_NAME,arn:aws:iam::帐户 ID:角色/ROLE_NAME
示例值:
arn:aws:iam::123456301789:saml-provider/AWSSSO_DevelopmentConnect,arn:aws:iam::123456301789:role/AmazonConnect_Development_Role
设置:
根 AWS
- 配置了 AWS SSO
- 在 AWS SSO 页面中,您可以在此处拥有 1 个或多个 Amazon Connect 应用程序
- AmazonConnect-开发
- AmazonConnect-QAEast
- AmazonConnect-QAWest
开发 AWS:
- 您已设置 Amazon Connect
- AmazonConnect-Development 作为实例名称(记录 ARN)
- 创建一个新的身份提供者(例如:AWSSSO_DevelopmentConnect)
- 创建策略(附加到角色中)
- 创建角色(例如:AmazonConnect_Development_Role)
- 查看更多here政策内容
- 在 Root AWS 中,将您的 AmazonConnect-Development 应用程序配置为具有与我上面的示例值相同的 Attribute Mapping 模式。
- 您还指定了 中继状态 URL 以便将用户重定向到特定的 Amazon Connectict 应用程序。
xxx AWS:
- 将应用与上述相同的步骤
要点:
- 对于每个 AWS 账户:
- 您将需要创建身份提供者,用模式命名它
- 创建要附加到角色中的策略
- 创建角色并选择 SAML 2.0 联盟
- 选中:允许编程和 AWS 管理控制台访问
- Link 具有角色的身份提供者
- 对于您在 AWS SSO 页面中配置的应用程序,确保额外的属性映射具有正确的值