IAM アイデンティティセンターを使用して Amazon Connect インスタンスの SAML 2.0 ベースの認証をセットアップするにはどうすればよいですか?

所要時間3分

AWS IAM アイデンティティセンター (AWS Single Sign-On の後継サービス) を使用して Amazon Connect インスタンスに SAML 2.0 ベースの認証を設定したい。どうすればよいですか?

簡単な説明

Amazon Connect インスタンスに SAML 2.0 ベースの認証を設定するには、次を実行します。

SAML 2.0 ベースの認証を使用する Amazon Connect インスタンスを作成します。
IAM アイデンティティセンタークラウドアプリケーションを作成して Amazon Connect インスタンスに接続します。
AWS Identity and Access Management (IAM) ID プロバイダー (IdP) を作成します
GetFederationToken アクションを許可する Amazon Connect インスタンスの IAM ポリシーを作成します。
フェデレーションユーザーに Amazon Connect インスタンスへのアクセス権を付与する IAM ロールを作成します。
Amazon Connect インスタンスのユーザー属性を IAM アイデンティティセンター属性にマッピングします。
IAM アイデンティティセンターでユーザーを作成し、IAM アイデンティティセンタークラウドアプリケーションに割り当てます。
IdP と作成した IAM アイデンティティセンターユーザー認証情報の 1 つを使用して Amazon Connect にログインし、セットアップをテストします。

重要: Amazon Connect インスタンスが存在するのと同じ AWS リージョンで、以下の手順を実行してください。

解決方法

SAML 2.0 ベースの認証を使用する Amazon Connect インスタンスを作成する

「Amazon Connect インスタンスの作成」の手順に従います。インスタンスを設定するときは、次のことを行ってください。

インスタンスのアイデンティティ管理を設定するときは、[SAML 2.0 ベースの認証] を選択します。
インスタンスの管理者を指定するときは、[Add a new admin] (新規管理者を追加する) を選択します。次に、Amazon Connect でユーザーアカウントの名前を入力します。
注: このユーザーのパスワードは IdP を通じて管理されます。
インスタンスのテレフォニーオプションを設定する場合は、デフォルトのオプションを受け入れます。
インスタンスのデータストレージ設定を設定する場合は、デフォルトのオプションを受け入れます。

IAM アイデンティティセンタークラウドアプリケーションを作成して Amazon Connect インスタンスに接続する

IAM アイデンティティセンターユーザーガイドの「Add and configure a cloud application」(クラウドアプリケーションの追加と設定) の手順に従います。クラウドアプリケーションを設定するときは、次のことを行ってください。

クラウドアプリケーションのサービスプロバイダーとして Amazon Connect を選択します。
[IAM アイデンティティセンターメタデータ] で、IAM アイデンティティセンターと IAM アイデンティティセンター証明書をダウンロードします。
注: IAM IdP をセットアップするには、これらのファイルが必要です。IAM アイデンティティセンター以外の IdP を使用する場合は、その IdP から SAML メタデータファイルを取得する必要があります。
[アプリケーションのプロパティ] で、デフォルトのリレーステートを受け入れます。

IAM IdP を作成する

「IAM ID プロバイダー (コンソール) の作成と管理」の手順に従います。IdP を作成するときは、次のことを行ってください。

[プロバイダー名] に**「ConnectIAM アイデンティティセンター」**と入力します。
[メタデータドキュメント] で、前のステップでダウンロードした IAM アイデンティティセンター SAML メタデータファイルを選択します。

重要: IdP の Amazon リソースネーム (ARN) を書き留めます。Amazon Connect インスタンスのユーザー属性を IAM アイデンティティセンター属性にマッピングするために必要です。

GetFederationToken アクションを許可する Amazon Connect インスタンスの IAM ポリシーを作成

次の JSON テンプレートを使用して、Connect-SSO-Policy という名前の IAM ポリシーを作成します。

重要: <connect instance ARN> を Amazon Connect インスタンスの ARN に置き換えてください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": [
                "<connect instance ARN>/user/${aws:userid}"
            ]
        }
    ]
}

詳細については、「Creating IAM policies」(IAM ポリシーの作成) および「GetFederationToken」を参照してください。

フェデレーティッドユーザーに Amazon Connect インスタンスへのアクセス権を付与する IAM ロールを作成

AWS IAM ユーザーガイドの「SAML のロールの作成」の手順に従います。IAM ロールを作成するときは、次のことを行ってください。

SAML プロバイダの場合は、Connect-SSO と入力します。
[プログラムによるアクセスと AWS マネジメントコンソールによるアクセスを許可する] を選択します。
[ポリシー (Policy)] で、前のステップで作成した Connect-SSO ポリシーを選択します。
[ロール名] に Connect-SSO と入力します。

重要: IAM ロールの ARN をメモします。Amazon Connect インスタンスのユーザー属性を IAM アイデンティティセンター属性にマッピングするために必要です。

Amazon Connect インスタンスのユーザー属性を IAM アイデンティティセンター属性にマッピングする

「Map attributes in your application to IAM Identity Center attributes」(アプリケーションの属性を IAM アイデンティティセンター属性にマッピングする) の手順に従います。属性をマップするときは、次の属性と値を追加してください。

重要: <IAM role ARN> を IAM ロールの ARN に置き換えます。<IAM IdP ARN> を IAM IdP の ARN に置き換えます。


属性	値
件名	${user: email}
https://aws.amazon.com/SAML/Attributes/RoleSessionName	${user: email}
https://aws.amazon.com/SAML/Attributes/Role	<IAM role ARN>、<IAM IdP ARN>

詳細については、「Attribute mappings」(属性マッピング) を参照してください。

IAM アイデンティティセンターでユーザーを作成し、IAM アイデンティティセンタークラウドアプリケーションに割り当てる

「Manage identities in IAM Identity Center」(IAM アイデンティティセンターでのアイデンティティの管理) の手順に従います。

IdP と作成した IAM アイデンティティセンターユーザー認証情報の 1 つを使用して Amazon Connect にログインし、セットアップをテストする

IAM アイデンティティセンターユーザーガイドのユーザーポータルにサインインする方法に関するページの手順に従います。