ID プロバイダー (IdP) を Amazon Connect Amazon Connect グローバルレジリエンシー SAML サインインエンドポイントと統合する - Amazon Connect

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ID プロバイダー (IdP) を Amazon Connect Amazon Connect グローバルレジリエンシー SAML サインインエンドポイントと統合する

エージェントが一度サインインして両方の AWS リージョンにログインし、現在のアクティブなリージョンからの問い合わせを処理するには、グローバルサインイン SAML エンドポイントを使用するように IAM 設定を構成する必要があります。

[開始する前に]

Amazon Connect Global Resiliency を使用するには、Amazon Connect インスタンスの SAML を有効にする必要があります。IAM フェデレーションの詳細については、「SAML 2.0 フェデレーティッドユーザーに AWS マネジメントコンソールへのアクセスを許可する」を参照してください。

重要事項

  • このトピックのステップを実行するには、インスタンス ID が必要です。それを探す方法については、「Amazon Connect インスタンスの ID または ARN の検索」を参照してください。

  • Amazon Connect インスタンスのソースリージョンも知っておく必要があります。それを探す方法については、「Amazon Connect インスタンスのソースリージョンを確認する方法」を参照してください。

  • iframe 内に Connect アプリケーションを埋め込む場合は、グローバルサインインが機能するように、ソースインスタンスとレプリカインスタンスの両方で承認済みオリジンのリストにドメインが含まれていることを確認する必要があります。

    インスタンスレベルで承認済みオリジンを設定するには、「Amazon Connect で統合アプリケーションの許可リストを使用する」のステップに従います。

  • エージェントは既にソースとレプリカ Amazon Connect インスタンスの両方ので作成されており、ID プロバイダー (IdP) のロールセッション名と同じユーザー名を使用する必要があります。それ以外の場合は、UserNotOnboardedException 例外と、インスタンス間のエージェント冗長機能が失われるリスクがあります。

  • エージェントがサインインを試みる前に、エージェントをトラフィック分散グループに関連付ける必要があります。そうしないと、エージェントのサインインが失敗し、ResourceNotFoundException が表示されます。トラフィック分散グループを設定し、それらにエージェントを関連付ける方法については、「複数の AWS リージョンにまたがる Amazon Connect インスタンスにエージェントを関連付ける」を参照してください。

  • エージェントが新しい SAML サインイン URL で Amazon Connect にフェデレーションされると、Amazon Connect Global Resiliency は、トラフィック分散グループで SignInConfig がどのような設定になっているかにかかわらず、常にエージェントをソースとレプリカの両方のリージョン/インスタンスにログインさせようとします。CloudTrail のログをチェックすることでこれを確認できます。

  • デフォルトのトラフィックSignInConfig分散グループの分散は AWS リージョン 、サインインを容易にするために使用される のみを決定します。SignInConfig 分散がどのように設定されているかにかかわらず、Amazon Connect は常に Amazon Connect インスタンスの両方のリージョンにエージェントをサインインさせようとします。

  • Amazon Connect インスタンスを複製すると、インスタンス用に SAML サインインエンドポイントが 1 つだけ生成されます。このエンドポイントには、常に URL AWS リージョン にソースが含まれます。

  • Amazon Connect Global Resiliency でパーソナライズされた SAML サインイン URL を使用する場合、リレーステートを設定する必要はありません。

ID プロバイダーの統合方法

  1. ReplicateInstance API を使用して Amazon Connect インスタンスのレプリカを作成する場合、Amazon Connect インスタンス用にパーソナライズされた SAML サインイン URL が生成されます。URL は次の形式で生成されます。

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-id は、インスタンスグループ内のいずれかのインスタンスのインスタンス ID です。インスタンス ID はソースリージョンとレプリカリージョンで同一です。

    2. source-region は、ReplicateInstance API が呼び出されたソース AWS リージョンに対応します。

  2. IAM フェデレーションロールに次の信頼ポリシーを追加します。次の例のように、グローバルサインイン SAML エンドポイントの URL を使用します。

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Federated":[ "saml-provider-arn" ] }, "Action":"sts:AssumeRoleWithSAML", "Condition":{ "StringLike":{ "SAML:aud":[ "https://instance-id.source-region.sign-in.connect.aws/saml*" ] } } } ] }
    注記

    saml-provider-arn は、IAM で作成された ID プロバイダーリソースです。

  3. IAM フェデレーションロールの InstanceId 向けに、connect:GetFederationToken にアクセス権を付与します。以下に例を示します。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "GetFederationTokenAccess", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": "*", "Condition": { "StringEquals": { "connect:InstanceId": "your-instance-id" } } } ] }
  4. 以下の属性と値の文字列を使用して、ID プロバイダーアプリケーションに属性マッピングを追加します。

    属性

    https://aws.amazon.com/SAML/Attributes/Role

    saml-role-arnidentity-provider-arn

  5. ID プロバイダーの Assertion Consumer Service (ACS) URL を、パーソナライズされた SAML サインイン URL を指すように設定します。ACS URL の次の例を使用します。

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination
  6. URL パラメータに次のフィールドを設定します。

    • instanceId: Amazon Connect インスタンスの識別子。インスタンス ID を見つける方法については、「Amazon Connect インスタンスの ID または ARN の検索」を参照してください。

    • accountId: Amazon Connect インスタンスが配置されている AWS アカウント ID。

    • role: Amazon Connect フェデレーションに使用される SAML ロールの名前または Amazon リソースネーム (ARN) に設定します。

    • idp: IAM の SAML ID プロバイダーの名前または Amazon リソースネーム (ARN)に設定します。

    • destination: エージェントがサインイン後にインスタンスにアクセスするオプションのパスに設定します (例:/agent-app-v2)。