Amazon Connect での IAM を使用した SAML の設定 - Amazon Connect

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Connect での IAM を使用した SAML の設定

Amazon Connect では、ID フェデレーションをサポートすることで、セキュリティアサーションマークアップランゲージ (SAML) 2.0 をAWSIAM を使用して、組織から Amazon Connect インスタンスへのウェブベースのシングルサインオン (SSO) を可能にします。これにより、ユーザーは SAML 2.0 互換 ID プロバイダー (IdP) によってホストされた組織内のポータルにサインインし、Amazon Connect 用の別の認証情報を入力する必要なくシングルサインオンエクスペリエンスで Amazon Connect インスタンスにログインすることができます。

重要な注意点

開始する前に、以下の点に注意してください。

  • Amazon Connect インスタンスの ID 管理方法として SAML 2.0 ベースの認証を選択するには、AWS Identity and Access Managementフェデレーション

  • Amazon Connect のユーザー名が、ID プロバイダーによって返される SAML レスポンスで指定された RoleSessionName SAML 属性と一致する必要があります。

  • Amazon Connect ユーザーは、1 つのAWSIAM ロール。を変更するAWSフェデレーションに使用される IAM ロールによって、以前のフェデレーティッドユーザーはログインで失敗します。Identity and Access Management ユーザーおよびロールの管理の詳細については、」IAM; ロール

Amazon Connect での SAML の使用の概要

次の図は、ユーザーを認証して Amazon Connect と連携させる際の SAML リクエストのフローを示します。


                Amazon Connect を使った SAML 認証リクエストのフロー

SAML リクエストは、次のようなステップを通過します。

  1. ユーザーは、Amazon Connect にログインするためのリンクを含む内部ポータルを参照します。リンクは、ID プロバイダーで定義されたものです。

  2. フェデレーションサービスが組織の ID ストアからの認証をリクエストします。

  3. ID ストアはユーザーを認証し、フェデレーションサービスに認証レスポンスを返します。

  4. 認証が成功すると、フェデレーションサービスはユーザーのブラウザに SAML アサーションを送信します。

  5. ユーザーのブラウザが SAML アサーションをAWSSAML エンドポイント (https://signin.aws.amazon.com/saml) にサインインします。AWSサインインでは、SAML リクエストの受信、リクエストの処理、ユーザーの認証、Amazon Connect への認証トークンの転送を行います。

  6. AWS からの認証トークンを使用して、Amazon Connect はユーザーを認証し、ブラウザで Amazon Connect を開きます。

Amazon Connect での SAML ベースの認証の有効化

Amazon Connect インスタンスで SAML 認証を使用するには、以下のステップで有効化し、設定する必要があります。

  1. Amazon Connect インスタンスを作成し、ID 管理用に SAML 2.0 ベースの認証を選択します。

  2. ID プロバイダーと AWS の間で SAML フェデレーションを有効にします。

  3. Amazon Connect インスタンスに Amazon Connect ユーザーを追加します。インスタンスを作成したときに作成した管理者アカウントを使用して、インスタンスにログインします。[ユーザー管理] ページに移動し、ユーザーを追加します。

    重要

    Amazon ConnectユーザーとAWSIAM ロールを使用する場合、ユーザー名は RoleSessionName と正確に一致する必要があります。AWSIAM フェデレーションの統合。通常は、ディレクトリ内のユーザー名になります。

    フォーマットは、フォーマット条件の交差と一致する必要がありますRoleSessionNameAmazon Connect ユーザー次の図に示すように、次のとおりです。

    形式:

    • 文字列: スペースなしの大文字と小文字の英数字

    • 長さの制限: 最小長は 2 です。 最大長は 64 です。

    • 特殊文字:@ -

  4. SAML アサーション、認証レスポンス、リレーステートに向けて ID プロバイダーを設定します。ユーザーが ID プロバイダーにログインします。成功すると、Amazon Connect インスタンスにリダイレクトされます。IAM ロールを使用して、AWS、Amazon Connectへのアクセスを許可します。

インスタンスの作成時に SAML 2.0 ベースの認証を選択する

Amazon Connect インスタンスを作成する際、ID 管理用に SAML 2.0 ベースの認証オプションを選択します。2 番目のステップでインスタンスの管理者を作成するとき、指定するユーザー名が既存のネットワークディレクトリ内のユーザー名と完全に一致しなければなりません。既存のディレクトリを通じてすでにパスワードが管理されているため、管理者ユーザーのパスワードを指定するオプションはありません。管理者は Amazon Connect で作成され、Adminセキュリティプロファイル。

Amazon Connect インスタンスにユーザーを追加するには、管理者アカウントを使用して IdP から Amazon Connect インスタンスにログインします。

ID プロバイダーと AWS の間で SAML フェデレーションを有効にする

Amazon Connect で SAML ベースの認証を有効にするには、IAM コンソールで ID プロバイダーを作成する必要があります。詳細については、「」を参照してください。SAML 2.0 フェデレーティッドユーザーが にアクセス可能にするAWSマネジメントコンソール

の ID プロバイダーを作成するためのプロセスAWSは、Amazon Connectでも同じです。フロー図のステップ 6 で、クライアントは Amazon Connect インスタンスに送信されます。AWS Management Console。

での SAML フェデレーションを有効化するために必要なステップAWS具体的には次のとおりです。

  1. AWS で SAML プロバイダーを作成します。詳細については、「SAML ID プロバイダーの作成」を参照してください。

  2. で SAML 2.0 フェデレーション用の IAM ロールを作成します。AWS Management Console。フェデレーション用に 1 つのロールのみを作成します (必要なロールは 1 つのみで、フェデレーションに使用されます)。IAM ロールによって、ID プロバイダーを通じてログインするユーザーがでどのアクセス権限を得るかが決まります。AWS。この場合、Amazon Connect にアクセスするためのアクセス権限が与えられます。Amazon Connect の機能へのアクセス権限を制御するには、Amazon Connect のセキュリティプロファイルを使用します。詳細については、「SAML 2.0 フェデレーション用のロールの作成 (コンソール)」を参照してください。

    重要

    このロールを置き換えると、そのロールとの不変の Amazon Connectuser アソシエーションによって既存のユーザーログインが中断されるため、以前のフェデレーティッドユーザーはログインに失敗します。

    手順 5 で、プログラムによる許可とAWSマネジメントコンソールへのアクセス。手順のトピック (SAML 2.0 フェデレーション用のロールを作成する準備をするには) に示されている信頼ポリシーを作成します。次に、Amazon Connect インスタンスにアクセス権限を割り当てるポリシーを作成します。アクセス許可は、「SAML ベースのフェデレーション用のロールを作成するには」の手順のステップ 9 で始まります。

    SAML フェデレーションに向けて IAM ロールにアクセス権限を割り当てるポリシーを作成するには

    1. On the [アクセス権限ポリシーをアタッチする] ページで [ポリシーの作成] を選択します。

    2. [Create policy] (ポリシーの作成) ページで [JSON] を選択します。

    3. 以下のサンプルポリシーのいずれかをコピーして JSON ポリシーエディタに貼り付け、既存のテキストを置き換えます。いずれかのポリシーを使用して SAML フェデレーションを有効化することも、特定の要件に合わせてポリシーをカスタマイズすることもできます。

      特定の Amazon Connect インスタンス内のすべてのユーザーに対してフェデレーションを有効にするには、このポリシーを使用します。SAML ベースの認証の場合、作成したインスタンスの Resource の値を ARN に置き換えます。

      { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": [ "arn:aws:connect:us-east-1:361814831152:instance/2fb42df9-78a2-2e74-d572-c8af67ed289b/user/${aws:userid}" ] } ] }

      特定の Amazon Connect インスタンスへのフェデレーションを有効にするには、このポリシーを使用します。connect:InstanceId の値をインスタンスのインスタンス ID に置き換えます。

      { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement2", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": "*", "Condition": { "StringEquals": { "connect:InstanceId": "2fb42df9-78a2-2e74-d572-c8af67ed289b" } } } ] }

      このポリシーを使用すると、複数のインスタンスに対してフェデレーションを有効化することができます。リストされたインスタンス ID が括弧で囲まれていることに注意してください。

      { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement2", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": "*", "Condition": { "StringEquals": { "connect:InstanceId": [ "2fb42df9-78a2-2e74-d572-c8af67ed289b", "1234567-78a2-2e74-d572-c8af67ed289b"] } } } ] }
    4. ポリシーを作成したら、[次へ: 確認. 次に、手順 10 に戻り、SAML ベースのフェデレーション用のロールを作成するにはプロシージャーをSAML 2.0 フェデレーション用のロールの作成 (コンソール)トピック。

  3. ネットワークを AWS の SAML プロバイダーとして設定します。詳細については、「」を参照してください。SAML 2.0 フェデレーティッドユーザーが にアクセス可能にするAWSマネジメントコンソール

  4. 認証レスポンス用の SAML アサーションを設定します。詳細については、「認証レスポンスの SAML アサーションを設定する」を参照してください。

  5. ID プロバイダーのリレーステートを、Amazon Connect インスタンスをポイントするように設定します。リレーステートに使用する URL は、次のとおりです。

    https://region-id.console.aws.amazon.com/connect/federate/instance-id

    を置き換えるリージョン IDを Amazon Connect インスタンスを作成したリージョン名 (たとえば、米国東部を指す us-east-1) で置き換えます。instance-id をインスタンスのインスタンス ID で置き換えます。

    注記

    インスタンスのインスタンス ID を検索するには、Amazon Connect コンソールでインスタンスエイリアスを選択します。インスタンス ID は、'/instance' の後にある数字と文字のセットです。インスタンス ARNに表示される概要ページで. たとえば、以下のインスタンス ARN では、178c75e4-b3de-4839-a6aa-e321ab3f3770 の部分がインスタンス ID です。

    arn:aws:connect:us-east-1:450725743157:instance/178c75e4-b3de-4839-a6aa-e321ab3f3770

リレーステートの URL で送信先を使用する

ID プロバイダーのリレーステートを設定する際、URL で destination 引数を使用すると、ユーザーを Amazon Connect インスタンスの特定のページにナビゲートすることができます。たとえば、エージェントのログイン時に直接 CCP を開くリンクを使用します。ユーザーには、インスタンス内の該当ページへのアクセス権限を付与するセキュリティプロファイルが割り当てられていなければなりません。たとえば、エージェントを CCP に送信するには、次のような URL をリレーステートに使用します。URL 内の送信先の値には URL エンコードを使用する必要があります。

https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fconnect%2Fccp-v2

Amazon Connect インスタンスにユーザーを追加する

インスタンスにユーザーを追加するときは、ユーザー名が既存のディレクトリ内のユーザー名と完全に一致することを確認してください。名前が一致しない場合、そのユーザー名を持つユーザーアカウントが Amazon Connect に存在しないことになるため、ユーザーは ID プロバイダーにログインすることはできても Amazon Connect にはログインできません。ユーザーは、[ユーザー管理] ページで手動で追加するか、CSV テンプレートを使って一括アップロードします。ユーザーを Amazon Connect に追加したら、セキュリティプロファイルや、他のユーザー設定を割り当てることができます。

ユーザーが ID プロバイダーにログインしたが、同じユーザー名を持つアカウントが Amazon Connect に存在しない場合、次のようになります。アクセスが拒否されるというメッセージが表示されます。


                ID プロバイダーを通じて Amazon Connect にログインしようとしたユーザーのユーザー名が Amazon Connect に存在しない場合に表示されるエラーメッセージ。

テンプレートを使ってユーザーを一括アップロードする

ユーザーをインポートするには、CSV ファイルに追加します。その後、CSV ファイルをインスタンスにインポートすると、そのファイルにすべてのユーザーが追加されます。CSV ファイルをアップロードしてユーザーを追加する場合は、SAML ユーザーのテンプレートを必ず使用してください。詳しくは、「」にあります。ユーザー管理ページAmazon Connect。SAML ベースの認証用には、別のテンプレートを使用します。テンプレートを以前ダウンロードしたことがある場合も、SAML ベースの認証を使ってインスタンスを設定した後、[ユーザー管理] ページで提供されているバージョンをダウンロードしてください。テンプレートに、E メールやパスワードの列を含めることはできません。

SAML ユーザーログインとセッションの長さ

Amazon Connect で SAML を使用する場合、ユーザーは、ID プロバイダー (IdP) から Amazon Connect にログインする必要があります。IdP は AWS と統合するように設定されています。認証後、セッションのトークンが作成されます。ユーザーは Amazon Connect インスタンスにリダイレクトされ、シングルサインオンを使用して Amazon Connect に自動的にログインします。

ベストプラクティスとして、Amazon Connect の使用を終了したユーザーがログアウトできるよう、Amazon Connect ユーザーに対してプロセスを定義することがおすすめです。Amazon Connect と ID プロバイダーの両方からログアウトする必要があります。そうしないと、そのセッションのトークンがセッションの長さ (デフォルトでは 10 時間) にわたって有効であるため、同じコンピュータに次にログインした人物がパスワードなしで Amazon Connect にログインできることになります。

セッションの有効期限について

Amazon Connect セッションの有効期限は、ユーザーがログインしてから 10 時間後に切れます。10 時間後、ユーザーは、通話中であっても自動的にログアウトされます。エージェントが 10 時間以上ログインしたままになっている場合は、期限が切れる前にセッショントークンを更新する必要があります。新しいセッションを作成するには、Amazon Connect と IdP からログアウトし、再度ログインします。そうすれば、トークンで設定されているセッションタイマーがリセットされるため、エージェントが顧客との通話中にログアウトされてしまう事態を防ぐことができます。ログインしているユーザーのセッションの有効期限が切れると、次のようなメッセージが表示されます。Amazon Connect を再度使用するには、ユーザーは ID プロバイダーにログインする必要があります。


                SAML ベースのユーザーに対して表示される、セッションの有効期限が切れたときのエラーメッセージ。