AWS IAM アイデンティティセンター (AWS Single Sign-On の後継サービス) を使用して Amazon Connect インスタンスに SAML 2.0 ベースの認証を設定したい。どうすればよいですか?
簡単な説明
Amazon Connect インスタンスに SAML 2.0 ベースの認証を設定するには、次を実行します。
重要: Amazon Connect インスタンスが存在するのと同じ AWS リージョンで、以下の手順を実行してください。
解決方法
SAML 2.0 ベースの認証を使用する Amazon Connect インスタンスを作成する
「Amazon Connect インスタンスの作成」の手順に従います。インスタンスを設定するときは、次のことを行ってください。
IAM アイデンティティセンタークラウドアプリケーションを作成して Amazon Connect インスタンスに接続する
IAM アイデンティティセンターユーザーガイドの「Add and configure a cloud application」(クラウドアプリケーションの追加と設定) の手順に従います。クラウドアプリケーションを設定するときは、次のことを行ってください。
- クラウドアプリケーションのサービスプロバイダーとして Amazon Connect を選択します。
- [IAM アイデンティティセンターメタデータ] で、IAM アイデンティティセンターと IAM アイデンティティセンター証明書をダウンロードします。
注: IAM IdP をセットアップするには、これらのファイルが必要です。IAM アイデンティティセンター以外の IdP を使用する場合は、その IdP から SAML メタデータファイルを取得する必要があります。
- [アプリケーションのプロパティ] で、デフォルトのリレーステートを受け入れます。
IAM IdP を作成する
「IAM ID プロバイダー (コンソール) の作成と管理」の手順に従います。IdP を作成するときは、次のことを行ってください。
- [プロバイダー名] に**「ConnectIAM アイデンティティセンター」**と入力します。
- [メタデータドキュメント] で、前のステップでダウンロードした IAM アイデンティティセンター SAML メタデータファイルを選択します。
重要: IdP の Amazon リソースネーム (ARN) を書き留めます。Amazon Connect インスタンスのユーザー属性を IAM アイデンティティセンター属性にマッピングするために必要です。
GetFederationToken アクションを許可する Amazon Connect インスタンスの IAM ポリシーを作成
次の JSON テンプレートを使用して、Connect-SSO-Policy という名前の IAM ポリシーを作成します。
重要: <connect instance ARN> を Amazon Connect インスタンスの ARN に置き換えてください。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": "connect:GetFederationToken",
"Resource": [
"<connect instance ARN>/user/${aws:userid}"
]
}
]
}
詳細については、「Creating IAM policies」(IAM ポリシーの作成) および「GetFederationToken」を参照してください。
フェデレーティッドユーザーに Amazon Connect インスタンスへのアクセス権を付与する IAM ロールを作成
AWS IAM ユーザーガイドの「SAML のロールの作成」の手順に従います。IAM ロールを作成するときは、次のことを行ってください。
- SAML プロバイダの場合は、Connect-SSO と入力します。
- [プログラムによるアクセスと AWS マネジメントコンソールによるアクセスを許可する] を選択します。
- [ポリシー (Policy)] で、前のステップで作成した Connect-SSO ポリシーを選択します。
- [ロール名] に Connect-SSO と入力します。
重要: IAM ロールの ARN をメモします。Amazon Connect インスタンスのユーザー属性を IAM アイデンティティセンター属性にマッピングするために必要です。
Amazon Connect インスタンスのユーザー属性を IAM アイデンティティセンター属性にマッピングする
「Map attributes in your application to IAM Identity Center attributes」(アプリケーションの属性を IAM アイデンティティセンター属性にマッピングする) の手順に従います。属性をマップするときは、次の属性と値を追加してください。
重要: <IAM role ARN> を IAM ロールの ARN に置き換えます。<IAM IdP ARN> を IAM IdP の ARN に置き換えます。
| |
---|
属性 | 値 |
件名 | ${user: email} |
https://aws.amazon.com/SAML/Attributes/RoleSessionName | ${user: email} |
https://aws.amazon.com/SAML/Attributes/Role | <IAM role ARN>、<IAM IdP ARN> |
詳細については、「Attribute mappings」(属性マッピング) を参照してください。
IAM アイデンティティセンターでユーザーを作成し、IAM アイデンティティセンタークラウドアプリケーションに割り当てる
「Manage identities in IAM Identity Center」(IAM アイデンティティセンターでのアイデンティティの管理) の手順に従います。
IdP と作成した IAM アイデンティティセンターユーザー認証情報の 1 つを使用して Amazon Connect にログインし、セットアップをテストする
IAM アイデンティティセンターユーザーガイドのユーザーポータルにサインインする方法に関するページの手順に従います。
関連情報
Amazon Connect で SAML をトラブルシューティングする
Amazon Connect 用 Microsoft Azure Active Directory を使用して IAM アイデンティティセンターを設定する
Okta を使用して Amazon Connect の IAM アイデンティティセンターを設定する