Ce guide explique comment configurer un SSO SAML entre HelloID et Amazon Connect, un processus qui ne se fait pas directement dans Amazon Connect mais via AWS IAM et l'IdP. L'idée principale est que l'authentification est gérée par HelloID (source de vérité), tandis qu'Amazon Connect se contente d'autoriser les utilisateurs déjà authentifiés via un flux IdP-initiated. L'instance Amazon Connect doit être créée en mode SAML dès le départ, car ce paramètre est irréversible.

La configuration implique trois étapes clés : déclarer HelloID comme fournisseur d'identité dans IAM, créer un rôle de fédération avec les droits nécessaires (notamment connect:GetFederationToken), et configurer une application SAML dans HelloID en utilisant des attributs spécifiques (comme Role et RoleSessionName) pour éviter les erreurs de mapping. Deux pièges majeurs sont à éviter : l'absence du certificat de signature dans les métadonnées SAML de HelloID et l'utilisation d'un mapping SAML générique qui nettoie les caractères spéciaux nécessaires aux noms d'attributs AWS.

Enfin, le rôle créé dans IAM doit être configuré pour autoriser l'assomption de rôle via SAML avec une audience spécifique, et l'application HelloID doit être correctement paramétrée pour émettre les attributs requis par AWS. Une fois ces étapes validées, les utilisateurs peuvent accéder à Amazon Connect via HelloID sans saisie de credentials supplémentaires.