IAM アイデンティティセンターを使用して Amazon Connect インスタンスの SAML 2.0 ベースの認証をセットアップするにはどうすればよいですか?

最終更新日: 2021 年 8 月 5 日

AWS IAM アイデンティティセンター (AWS Single Sign-On の後継サービス) を使用して Amazon Connect インスタンスに SAML 2.0 ベースの認証を設定したい。どうすればよいですか?

簡単な説明

Amazon Connect インスタンスに SAML 2.0 ベースの認証を設定するには、次を実行します。

重要: Amazon Connect インスタンスが存在するのと同じ AWS リージョンで、以下の手順を実行してください。

解決方法

SAML 2.0 ベースの認証を使用する Amazon Connect インスタンスを作成する

Amazon Connect インスタンスの作成」の手順に従います。インスタンスを設定するときは、次のことを行ってください。

IAM アイデンティティセンタークラウドアプリケーションを作成して Amazon Connect インスタンスに接続する

IAM アイデンティティセンターユーザーガイドの「Add and configure a cloud application」(クラウドアプリケーションの追加と設定) の手順に従います。クラウドアプリケーションを設定するときは、次のことを行ってください。

  • クラウドアプリケーションのサービスプロバイダーとして Amazon Connect を選択します。
  • [IAM アイデンティティセンターメタデータ] で、IAM アイデンティティセンターIAM アイデンティティセンター証明書をダウンロードします。
    注: IAM IdP をセットアップするには、これらのファイルが必要です。IAM アイデンティティセンター以外の IdP を使用する場合は、その IdP から SAML メタデータファイルを取得する必要があります。
  • [アプリケーションのプロパティ] で、デフォルトのリレーステートを受け入れます。

IAM IdP を作成する

IAM ID プロバイダー (コンソール) の作成と管理」の手順に従います。IdP を作成するときは、次のことを行ってください。

  • [プロバイダー名]「ConnectIAM アイデンティティセンター」と入力します。
  • [メタデータドキュメント] で、前のステップでダウンロードした IAM アイデンティティセンター SAML メタデータファイルを選択します。

重要: IdP の Amazon リソースネーム (ARN) を書き留めます。Amazon Connect インスタンスのユーザー属性を IAM アイデンティティセンター属性にマッピングするために必要です。

GetFederationToken アクションを許可する Amazon Connect インスタンスの IAM ポリシーを作成

次の JSON テンプレートを使用して、Connect-SSO-Policy という名前の IAM ポリシーを作成します

重要: <connect instance ARN> を Amazon Connect インスタンスの ARN に置き換えてください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": [
                "<connect instance ARN>/user/${aws:userid}"
            ]
        }
    ]
}

詳細については、「Creating IAM policies」(IAM ポリシーの作成) および「GetFederationToken」を参照してください。

フェデレーティッドユーザーに Amazon Connect インスタンスへのアクセス権を付与する IAM ロールを作成

AWS IAM ユーザーガイドの「SAML のロールの作成」の手順に従います。IAM ロールを作成するときは、次のことを行ってください。

  • SAML プロバイダの場合はConnect-SSO と入力します。
  • [プログラムによるアクセスと AWS マネジメントコンソールによるアクセスを許可する] を選択します。
  • [ポリシー (Policy)] で、前のステップで作成した Connect-SSO ポリシーを選択します
  • [ロール名] に Connect-SSO と入力します。

重要: IAM ロールの ARN をメモします。Amazon Connect インスタンスのユーザー属性を IAM アイデンティティセンター属性にマッピングするために必要です。

Amazon Connect インスタンスのユーザー属性を IAM アイデンティティセンター属性にマッピングする

Map attributes in your application to IAM Identity Center attributes」(アプリケーションの属性を IAM アイデンティティセンター属性にマッピングする) の手順に従います。属性をマップするときは、次の属性と値を追加してください。

重要: <IAM role ARN> を IAM ロールの ARN に置き換えます。<IAM IdP ARN> を IAM IdP の ARN に置き換えます。

属性
件名 ${user: email}
https://aws.amazon.com/SAML/Attributes/RoleSessionName ${user: email}
https://aws.amazon.com/SAML/Attributes/Role <IAM role ARN>、<IAM IdP ARN>

詳細については、「Attribute mappings」(属性マッピング) を参照してください。

IAM アイデンティティセンターでユーザーを作成し、IAM アイデンティティセンタークラウドアプリケーションに割り当てる

Manage identities in IAM Identity Center」(IAM アイデンティティセンターでのアイデンティティの管理) の手順に従います。

IdP と作成した IAM アイデンティティセンターユーザー認証情報の 1 つを使用して Amazon Connect にログインし、セットアップをテストする

IAM アイデンティティセンターユーザーガイドのユーザーポータルにサインインする方法に関するページの手順に従います。