

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Integre seu provedor de identidade (IdP) com um endpoint de login SAML do Connect Customer Global Resiliency
<a name="integrate-idp"></a>

Para permitir que seus agentes façam login uma vez e estejam conectados às duas AWS regiões para processar contatos da região ativa atual, você precisa definir as configurações do IAM para usar o endpoint SAML de login global. 

## Antes de começar
<a name="before-idp"></a>

Você deve habilitar o SAML para sua instância do Connect Customer para usar o Connect Customer Global Resiliency. Para obter mais informações, consulte [Habilitar o acesso de usuários federados SAML 2.0 ao AWS Management Console](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html). 

## O que é importante saber
<a name="important-integrate-idp"></a>
+ O failover do agente só é suportado ao usar o endpoint de login global.
+ Para executar as etapas neste tópico, você precisará do ID da instância. Para obter instruções sobre como encontrá-la, consulte [Encontre seu ID de instância ou ARN do Connect Customer](find-instance-arn.md).
+ Você também precisará conhecer a região de origem das suas instâncias do Connect Customer. Para obter instruções sobre como encontrá-la, consulte [Como encontrar a região de origem das suas instâncias do Connect Customer](create-replica-connect-instance.md#how-to-find-source-region-of-instances). 
+ Se você estiver incorporando a aplicação Connect em um iframe, deverá garantir que o domínio esteja presente na lista de origens aprovadas na instância de origem e de réplica para que o login global funcione.

  Para configurar as origens aprovadas no nível da instância, siga as etapas em [Use uma lista de permissões para aplicativos integrados no Connect Customer](app-integration.md).
+ *Os agentes já devem estar criados em suas instâncias de origem e réplica do Connect Customer e ter o mesmo nome de usuário que o nome da sessão de função do seu provedor de identidade (IdP).* Caso contrário, você receberá uma `UserNotOnboardedException` e correrá o risco de perder os recursos de redundância de atendentes entre as instâncias.
+ Você deve associar os atendentes a um grupo de distribuição de tráfego antes que eles tentem fazer login. Do contrário, o login do atendente apresentará falha com uma `ResourceNotFoundException`. Para obter informações sobre como configurar grupos de distribuição de tráfego e associar atendentes a eles, consulte [Associe agentes às instâncias do Connect Customer em várias AWS Regiões](associate-agents-across-regions.md).
+ Quando seus agentes se federam no Connect Customer com a nova URL de login do SAML, o Connect Customer Global Resiliency sempre tenta registrar o agente em suas regiões/instâncias de origem e réplica, independentemente de como `SignInConfig` está configurado em seu grupo de distribuição de tráfego. Você pode verificar isso verificando CloudTrail os registros. 
+ A `SignInConfig` distribuição em seu grupo de distribuição de tráfego padrão determina apenas o que Região da AWS é usado para ajudar no login. Independentemente de como sua `SignInConfig` distribuição está configurada, o Connect Customer sempre tenta inscrever agentes nas duas regiões da sua instância do Connect Customer.
+ Depois de replicar uma instância do Connect Customer, somente um endpoint de login SAML é gerado para suas instâncias. Esse endpoint sempre contém a fonte Região da AWS na URL. 
+ Você não precisa configurar um estado de retransmissão ao usar o URL de login SAML personalizado com o Connect Customer Global Resiliency.

## Como integrar o provedor de identidades
<a name="howto-integrate-idp"></a>

1. Quando você cria uma réplica da sua instância do Connect Customer usando a [ReplicateInstance](https://docs.aws.amazon.com/connect/latest/APIReference/API_ReplicateInstance.html)API, um URL de login SAML personalizado é gerado para suas instâncias do Connect Customer. O URL é gerado no seguinte formato: 

   `https://{{instance-id}}.{{source-region}}.sign-in.connect.aws/saml`

   1. {{instance-id}}é o ID da instância de qualquer instância em seu grupo de instâncias. O ID da instância é idêntico nas regiões de origem e réplica.

   1. {{source-region}}corresponde à AWS região de origem na qual a [ReplicateInstance](https://docs.aws.amazon.com/connect/latest/APIReference/API_ReplicateInstance.html)API foi chamada.

1. Adicione a política de confiança a seguir ao seu perfil de federação do IAM. Use o URL para o endpoint de login global do SAML conforme mostrado no exemplo a seguir.

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Effect":"Allow",
            "Principal":{
               "Federated":[
                 "arn:aws:iam::{{111122223333}}:saml-provider/{{MySAMLProvider}}"
               ]
            },
            "Action":"sts:AssumeRoleWithSAML",
            "Condition":{
               "StringLike":{
                  "SAML:aud":[
                     "https://instance-id.source-region.sign-in.connect.aws/saml*"
                  ]
               }
            }
         }
      ]
   }
   ```

------
**nota**  
`saml-provider-arn` é o recurso do provedor de identidades criado no IAM.

1. Permita o acesso de `connect:GetFederationToken` ao `InstanceId` na federação do IAM. Por exemplo:

------
#### [ JSON ]

****  

   ```
   {
   "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "GetFederationTokenAccess",
               "Effect": "Allow",
               "Action": "connect:GetFederationToken",
               "Resource": "*",
               "Condition": {
                   "StringEquals": {
                       "connect:InstanceId": "{{your-instance-id}}"
                   }
               }
           }
       ]
   }
   ```

------

1. Adicione um mapeamento de atributos à aplicação do provedor de identidades usando as strings de atributos e valores a seguir.    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/connect/latest/adminguide/integrate-idp.html)

1. Configure o URL do Assertion Consumer Service (ACS) do provedor de identidades para apontar para o URL de login personalizado do SAML. Use o seguinte exemplo para o URL do ACS:

   ```
   https://{{instance-id}}.{{source-region}}.sign-in.connect.aws/saml?&instanceId={{instance-id}}&accountId={{your AWS account ID}}&role={{saml-federation-role}}&idp={{your SAML IDP}}&destination={{optional-destination}}
   ```

1. Defina os seguintes campos nos parâmetros do URL:
   + `instanceId`: o identificador da sua instância do Connect Customer. Para obter instruções sobre como localizar o ID da instância, consulte [Encontre seu ID de instância ou ARN do Connect Customer](find-instance-arn.md).
   + `accountId`: o ID da AWS conta em que as instâncias do Connect Customer estão localizadas.
   + `role`: defina o nome ou o Amazon Resource Name (ARN) da função SAML usada para a federação Connect Customer.
   + O nome do recurso da Amazon (ARN) do provedor de identidades SAML do IAM.
   + `destination`: defina o caminho opcional pelo qual os atendentes chegarão à instância após o login (por exemplo: `/agent-app-v2`).