翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ID プロバイダー (IdP ) を Amazon Connect グローバルレジリエンシーSAMLサインインエンドポイントと統合する
エージェントが一度サインインし、両方の AWS リージョンにログインして現在のアクティブなリージョンからの問い合わせを処理するには、グローバルサインインSAMLエンドポイントを使用するようにIAM設定する必要があります。
開始する前に
Amazon Connect グローバルレジリエンシーを使用するには、Amazon Connect インスタンスSAMLで Amazon Connect を有効にする必要があります。IAM フェデレーションの開始方法については、「2.0 SAML フェデレーションユーザーの AWSマネジメントコンソールへのアクセスを有効にする」を参照してください。
重要事項
-
このトピックのステップを実行するには、インスタンス ID が必要です。それを探す方法については、「Amazon Connect インスタンス ID/ を検索するARN」を参照してください。
-
Amazon Connect インスタンスのソースリージョンも知っておく必要があります。それを探す方法については、「Amazon Connect インスタンスのソースリージョンを確認する方法」を参照してください。
-
iframe 内に Connect アプリケーションを埋め込む場合は、グローバルサインインを機能させるために、ソースインスタンスとレプリカインスタンスの両方でドメインが承認済みオリジンのリストに含まれていることを確認する必要があります。
承認されたオリジンをインスタンスレベルで設定するには、「」のステップに従います統合アプリケーションの許可リストを使用する。
-
エージェントは既にソースとレプリカ Amazon Connect インスタンスの両方ので作成されており、ID プロバイダー (IdP) のロールセッション名と同じユーザー名を使用する必要があります。それ以外の場合は、
UserNotOnboardedException
例外と、インスタンス間のエージェント冗長機能が失われるリスクがあります。 -
エージェントがサインインを試みる前に、エージェントをトラフィック分散グループに関連付ける必要があります。そうしないと、エージェントのサインインが失敗し、
ResourceNotFoundException
が表示されます。トラフィック分散グループを設定し、それらにエージェントを関連付ける方法については、「複数の AWS リージョンのインスタンスにエージェントを関連付ける」を参照してください。 -
エージェントが新しいSAMLサインイン を使用して Amazon Connect にフェデレーションする場合URL、Amazon Connect Global Resiliency
SignInConfig
は、トラフィック分散グループで がどのように設定されているかにかかわらず、常にソースリージョン/インスタンスとレプリカリージョン/インスタンスの両方にエージェントをログインしようとします。これを確認するには、 CloudTrail ログを確認します。 -
デフォルトのトラフィック
SignInConfig
分散グループの分散は AWS リージョン 、サインインを容易にするために使用される のみを決定します。SignInConfig
分散がどのように設定されているかにかかわらず、Amazon Connect は常に Amazon Connect インスタンスの両方のリージョンにエージェントをサインインさせようとします。 -
Amazon Connect インスタンスをレプリケートすると、インスタンスに対して 1 つのSAMLサインインエンドポイントのみが生成されます。このエンドポイントには、常に AWS リージョン にソースが含まれますURL。
-
Amazon Connect グローバルレジリエンシーURLでパーソナライズされたSAMLサインインを使用する場合、リレーステートを設定する必要はありません。
ID プロバイダーの統合方法
-
を使用して Amazon Connect インスタンスのレプリカを作成するReplicateInstanceとAPI、Amazon Connect インスタンス用にパーソナライズされたSAMLサインインURLが生成されます。URL は、次の形式で生成されます。
https://
instance-id
.source-region
.sign-in.connect.aws/saml-
instance-id
は、インスタンスグループ内のいずれかのインスタンスのインスタンス ID です。インスタンス ID はソースリージョンとレプリカリージョンで同一です。 -
source-region
は、 が呼びReplicateInstanceAPI出されたソース AWS リージョンに対応します。
-
-
次の信頼ポリシーをIAMフェデレーションロールに追加します。次の例に示すように、グローバルサインインSAMLエンドポイントに URLを使用します。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Federated":[ "saml-provider-arn" ] }, "Action":"sts:AssumeRoleWithSAML", "Condition":{ "StringLike":{ "SAML:aud":[ "https://instance-id.source-region.sign-in.connect.aws/saml*" ] } } } ] }
注記
saml-provider-arn
は、 で作成された ID プロバイダーリソースですIAM。 -
フェデレーションロール
InstanceId
のconnect:GetFederationToken
に IAM へのアクセスを許可します。例:{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetFederationTokenAccess", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": "*", "Condition": { "StringEquals": { "connect:InstanceId": "
your-instance-id
" } } } ] } -
以下の属性と値の文字列を使用して、ID プロバイダーアプリケーションに属性マッピングを追加します。
属性 値 https://aws.amazon.com/SAML/属性/ロール
saml-role-arn
,identity-provider-arn
-
パーソナライズされたSAMLサインイン を指すように、ID プロバイダーURLのアサーションコンシューマーサービス (ACS) を設定しますURL。次の例を ACS に使用しますURL。
https://
instance-id
.source-region
.sign-in.connect.aws/saml?&instanceId=instance-id
&accountId=your AWS account ID
&role=saml-federation-role
&idp=your SAML IDP
&destination=optional-destination
-
URL パラメータで次のフィールドを設定します。
-
instanceId
: Amazon Connect インスタンスの識別子。インスタンス ID を見つける方法については、「Amazon Connect インスタンス ID/ を検索するARN」を参照してください。 -
accountId
: Amazon Connect インスタンスが配置されている AWS アカウント ID。 -
role
: Amazon Connect フェデレーションに使用されるSAMLロールの名前または Amazon リソースネーム (ARN) に設定します。 Amazon Connect -
idp
: の SAML ID プロバイダーの名前または Amazon リソースネーム (ARN) に設定しますIAM。 -
destination
: エージェントがサインイン後にインスタンスにアクセスするオプションのパスに設定します (例:/agent-app-v2
)。
-