項目 |
内容 |
|
---|---|---|
事前確認 |
|
|
ネームID |
〇 |
メールアドレス |
カスタム属性 ※ カスタム属性の設定方法はこちら |
||
SP側の設定 |
〇 |
管理者様にて設定 |
SPへ設定を依頼 |
||
プロビジョニング |
APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可) |
|
SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可) |
||
〇 |
なし(各システムでアカウント作成) |
|
アクセス方法 |
× |
SP-Initiated SSO |
〇 |
IdP-Initiated SSO |
|
デバイス別動作検証状況 |
〇 |
PC - ブラウザ |
ー |
PC - デスクトップアプリ |
|
ー |
iOS - 標準ブラウザ (Safari) |
|
ー |
iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ |
|
ー |
iOS - ネイティブアプリ |
|
〇 |
Android - 標準ブラウザ (Chrome) |
|
ー |
Android - トラスト・ログイン モバイルアプリ 内部ブラウザ |
|
ー |
Android - ネイティブアプリ |
設定の流れ
トラスト・ログイン | AWS/Amazon Connect |
1. トラスト・ログインの管理ページの設定 |
|
|
2.Amazon Connectのインスタンス・ユーザー作成 |
3. AWS IAMでIDプロバイダ・ポリシー・ロール設定 |
|
4. トラスト・ログインの管理ページの設定 (続き) |
|
トラスト・ログインの管理ページの設定
- トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
- 「アプリケーション名」「アイコン」(任意)を登録します。
- 「IDプロバイダーの情報」のメタデータをダウンロードしておきます。
ここで、Amazon 側の設定に移ります。別ウィンドウでAWSマネジメントコンソールを開いてください。
Amazon Connectのインスタンス・ユーザー作成
- AWSマネジメントコンソールからAmazon Connectを開き、SAML 2.0 ベースの認証を使用するインスタンスを作成します。ID管理で「SAML 2.0 ベースの認証」を選択し、アクセスURL(任意の名称)を指定します。
以降の詳細な手順は Amazon Connect インスタンスを作成する をご参照ください。 - 作成されたインスタンス名のリンクからアカウントの概要を開き、「Instance ARN」の値をコピーして控えておきます。
- インスタンスが作成後、表示されるメッセージの「今すぐ始める」を開きます。
- 左メニューから「ユーザー > ユーザー管理」を開きます。
- 「新しいユーザーの追加」から手動またはCSVインポートによりユーザーを追加します。
「ログイン」にはトラスト・ログインのメールアドレスを設定します。
その他の設定項目につきましては運用方法に合わせて設定してください。
AWS IAMでIDプロバイダ・ポリシー・ロール設定
① IDプロバイダの設定
- IAMコンソールで「IDプロバイダ > プロバイダを追加」を開きます。
- 各項目を以下の通り設定し、「プロバイダの追加」より追加します。
プロバイダのタイプ 「SAML」を選択 プロバイダ名 任意の名称 メタデータドキュメント トラスト・ログインからダウンロードしたメタデータをアップロードする - 作成されたIDプロバイダ名のリンクから概要画面を開き、「ARN」の値を控えておきます。
② ポリシーの設定
- IAMコンソールで「ポリシー > ポリシーを作成」を開きます。
- JSONタブを開き、以下のテンプレート内容をコピー&ペーストします。
<connect instance ARN>の部分は「Amazon Connectのインスタンス・ユーザー作成」の手順2で取得した「Instance ARN」に置き換えます。
「次のステップ:タグ」を押下し次へ進みます。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": "connect:GetFederationToken",
"Resource": [
"<connect instance ARN>/user/${aws:userid}"
]
}
]
} - そのまま「次のステップ:確認」へ進みます。
- ポリシーの「名前」に任意の名称を設定し、「ポリシーの作成」を押下します。
③ ロールの設定
- IAMコンソールで「ロール > ロールを作成」を開きます。
- 以下の通り設定し「次へ」を押下します。
エンティティタイプ 「SAML 2.0 フェデレーション」を選択 SAML 2.0ベースのプロバイダー 作成したIDプロバイダ を選択し
「プログラムと AWS マネジメントコンソールへのアクセスを許可する」を選択 - 作成したポリシーにチェックをし「次へ」を押下します。
- 「ロール名」に任意の名称を設定し、「ロールを作成」を押下します。
- ロール一覧の作成したロール名のリンクから概要画面を開き、「ARN」の値を控えておきます。
再度トラスト・ログインの設定に戻ります。
トラスト・ログインの管理ページの設定 (続き)
- 「サービスプロバイダーの設定」を以下の通り設定します。
SP認証成功後の移行URL https://<リージョンid>.console.aws.amazon.com/connect/federate/<インスタンスid> 「リージョンid」と「インスタンスid」はAmazon Connectの「Instance ARN」でご確認いただけます。
例)「Instance ARN」が
arn:aws:connect:us-east-1:xxxxxxxxxxxx:instance/xxxxxxxxxxxxxxxxxxxxxxxの場合、青字部分が「リージョンid」、赤字部分が「インスタンスid」となり、
SP認証成功後の移行URLに設定する値は
https://us-east-1.console.aws.amazon.com/connect/federate/xxxxxxxxxxxxxxxxxxxxxxxとなります。
ネームID用値 メンバー > email エンティティID urn:amazon:webservices ネームIDフォーマット 「persistent」を選択 サービスへのACS URL https://signin.aws.amazon.com/saml - 「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加します。以下の通り設定します。
サービスプロバイダー属性 トラスト・ログイン(IdP)属性 属性指定名 属性種類 属性名 属性値 subject Unspecified subject メンバー
メンバーーメールアドレス
下記①の値 Unspecified 下記①の値 固定値 「ロールのARN」,「IDプロバイダのARN」
(コンマ(,)でロールARNとIDプロバイダのARNを区切って表記)
下記②の値 Unspecified 下記②の値 メンバー メンバーーメールアドレス
①:https://aws.amazon.com/SAML/Attributes/Role
②:https://aws.amazon.com/SAML/Attributes/RoleSessionName - 「登録」ボタンで保存します。
トラスト・ログインのユーザーの設定
① ユーザーがマイページで追加する場合
- 「マイページ」で「アプリ追加」ボタンを押します。
- 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
- 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
- 「マイページ」または「拡張機能」でアプリをクリックし、ログインが成功するかご確認ください。
②管理者がメンバーを追加する場合
- 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
- 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。