Amazon Connect のSAML認証の設定方法

 項目

内容 

事前確認

  • Amazon Connect にて事前の設定が必要です。

  • 最新の設定手順は、Amazon Connectからご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

 

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

なし(各システムでアカウント作成)

アクセス方法

×

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

設定の流れ

トラスト・ログイン AWS/Amazon Connect

1. トラスト・ログインの管理ページの設定
 独自SAMLアプリ作成、メタデータダウンロード

 

 

2.Amazon Connectのインスタンス・ユーザー作成
 

3. AWS IAMでIDプロバイダ・ポリシー・ロール設定
   ①IDプロバイダの設定
 ②ポリシーの設定
 ③ロールの設定

4. トラスト・ログインの管理ページの設定 (続き)
 SP情報設定、SAML属性の設定

 

5. トラスト・ログインのユーザーの設定

 


トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    05.png

  2. 「アプリケーション名」「アイコン」(任意)を登録します。
    06.png

  3. 「IDプロバイダーの情報」のメタデータをダウンロードしておきます。
    07.png

ここで、Amazon 側の設定に移ります。別ウィンドウでAWSマネジメントコンソールを開いてください。

Amazon Connectのインスタンス・ユーザー作成

  1. AWSマネジメントコンソールからAmazon Connectを開き、SAML 2.0 ベースの認証を使用するインスタンスを作成します。ID管理で「SAML 2.0 ベースの認証」を選択し、アクセスURL(任意の名称)を指定します。
    01.png

    以降の詳細な手順は Amazon Connect インスタンスを作成する をご参照ください。

  2. 作成されたインスタンス名のリンクからアカウントの概要を開き、「Instance ARN」の値をコピーして控えておきます。
    10.png

  3. インスタンスが作成後、表示されるメッセージの「今すぐ始める」を開きます。
    02.png

  4. 左メニューから「ユーザー > ユーザー管理」を開きます。
    03.png

  5. 「新しいユーザーの追加」から手動またはCSVインポートによりユーザーを追加します。
    「ログイン」にはトラスト・ログインのメールアドレスを設定します。
    その他の設定項目につきましては運用方法に合わせて設定してください。
    04.png

 

AWS IAMでIDプロバイダ・ポリシー・ロール設定

① IDプロバイダの設定

  1. IAMコンソールで「IDプロバイダ > プロバイダを追加」を開きます。
    08.png

  2. 各項目を以下の通り設定し、「プロバイダの追加」より追加します。
    プロバイダのタイプ 「SAML」を選択
    プロバイダ名 任意の名称
    メタデータドキュメント トラスト・ログインからダウンロードしたメタデータをアップロードする

    09.png

  3. 作成されたIDプロバイダ名のリンクから概要画面を開き、「ARN」の値を控えておきます。
    11.png

② ポリシーの設定

  1. IAMコンソールで「ポリシー > ポリシーを作成」を開きます。
    12.png

  2. JSONタブを開き、以下のテンプレート内容をコピー&ペーストします。
    <connect instance ARN>の部分は「Amazon Connectのインスタンス・ユーザー作成」の手順2で取得した「Instance ARN」に置き換えます。
    「次のステップ:タグ」を押下し次へ進みます。

    {
    "Version": "2012-10-17",
    "Statement": [
    {
    "Sid": "Statement1",
    "Effect": "Allow",
    "Action": "connect:GetFederationToken",
    "Resource": [
    "<connect instance ARN>/user/${aws:userid}"
    ]
    }
    ]
    }


    13.png

  3. そのまま「次のステップ:確認」へ進みます。
    14.png

  4. ポリシーの「名前」に任意の名称を設定し、「ポリシーの作成」を押下します。
    15.png

③ ロールの設定

  1. IAMコンソールで「ロール > ロールを作成」を開きます。
    16.png

  2. 以下の通り設定し「次へ」を押下します。
    エンティティタイプ 「SAML 2.0 フェデレーション」を選択
    SAML 2.0ベースのプロバイダー 作成したIDプロバイダ を選択し
    「プログラムと AWS マネジメントコンソールへのアクセスを許可する」を選択

    17.png

  3. 作成したポリシーにチェックをし「次へ」を押下します。
    18.png

  4. 「ロール名」に任意の名称を設定し、「ロールを作成」を押下します。
    _19.png

  5. ロール一覧の作成したロール名のリンクから概要画面を開き、「ARN」の値を控えておきます。
    20.png


再度トラスト・ログインの設定に戻ります。

トラスト・ログインの管理ページの設定 (続き)

  1.  「サービスプロバイダーの設定」を以下の通り設定します。
    SP認証成功後の移行URL
    https://<リージョンid>.console.aws.amazon.com/connect/federate/<インスタンスid>

    「リージョンid」と「インスタンスid」はAmazon Connectの「Instance ARN」でご確認いただけます。

    例)「Instance ARN」が
    arn:aws:connect:us-east-1:xxxxxxxxxxxx:instance/xxxxxxxxxxxxxxxxxxxxxxx

    の場合、青字部分が「リージョンid」、赤字部分が「インスタンスid」となり、
    SP認証成功後の移行URLに設定する値は

    https://us-east-1.console.aws.amazon.com/connect/federate/xxxxxxxxxxxxxxxxxxxxxxx

    となります。

    ネームID用値 メンバー > email
    エンティティID urn:amazon:webservices
    ネームIDフォーマット 「persistent」を選択
    サービスへのACS URL https://signin.aws.amazon.com/saml

    21.png
  2. 「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加します。以下の通り設定します。
    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値
    subject Unspecified subject

    メンバー

    メンバーーメールアドレス

    下記①の値 Unspecified 下記①の値 固定値

    「ロールのARN」,「IDプロバイダのARN」

    (コンマ(,)でロールARNとIDプロバイダのARNを区切って表記)

    下記②の値 Unspecified 下記②の値 メンバー メンバーーメールアドレス

    ①:https://aws.amazon.com/SAML/Attributes/Role
    ②:https://aws.amazon.com/SAML/Attributes/RoleSessionName

    22.png

  3. 「登録」ボタンで保存します。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
  4. 「マイページ」または「拡張機能」でアプリをクリックし、ログインが成功するかご確認ください。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

Amazon Connect のSAML認証の設定方法

 項目

内容 

事前確認

  • Amazon Connect にて事前の設定が必要です。

  • 最新の設定手順は、Amazon Connectからご提供されているマニュアルをご確認くださいますようお願いいたします。

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(トラスト・ログインでアカウント管理可)

 

SAML JITプロビジョニング対応(トラスト・ログインでアカウント管理可・ユーザー削除不可)

なし(各システムでアカウント作成)

アクセス方法

×

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

設定の流れ

トラスト・ログイン AWS/Amazon Connect

1. トラスト・ログインの管理ページの設定
 独自SAMLアプリ作成、メタデータダウンロード

 

 

2.Amazon Connectのインスタンス・ユーザー作成
 

3. AWS IAMでIDプロバイダ・ポリシー・ロール設定
   ①IDプロバイダの設定
 ②ポリシーの設定
 ③ロールの設定

4. トラスト・ログインの管理ページの設定 (続き)
 SP情報設定、SAML属性の設定

 

5. トラスト・ログインのユーザーの設定

 


トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    05.png

  2. 「アプリケーション名」「アイコン」(任意)を登録します。
    06.png

  3. 「IDプロバイダーの情報」のメタデータをダウンロードしておきます。
    07.png

ここで、Amazon 側の設定に移ります。別ウィンドウでAWSマネジメントコンソールを開いてください。

Amazon Connectのインスタンス・ユーザー作成

  1. AWSマネジメントコンソールからAmazon Connectを開き、SAML 2.0 ベースの認証を使用するインスタンスを作成します。ID管理で「SAML 2.0 ベースの認証」を選択し、アクセスURL(任意の名称)を指定します。
    01.png

    以降の詳細な手順は Amazon Connect インスタンスを作成する をご参照ください。

  2. 作成されたインスタンス名のリンクからアカウントの概要を開き、「Instance ARN」の値をコピーして控えておきます。
    10.png

  3. インスタンスが作成後、表示されるメッセージの「今すぐ始める」を開きます。
    02.png

  4. 左メニューから「ユーザー > ユーザー管理」を開きます。
    03.png

  5. 「新しいユーザーの追加」から手動またはCSVインポートによりユーザーを追加します。
    「ログイン」にはトラスト・ログインのメールアドレスを設定します。
    その他の設定項目につきましては運用方法に合わせて設定してください。
    04.png

 

AWS IAMでIDプロバイダ・ポリシー・ロール設定

① IDプロバイダの設定

  1. IAMコンソールで「IDプロバイダ > プロバイダを追加」を開きます。
    08.png

  2. 各項目を以下の通り設定し、「プロバイダの追加」より追加します。
    プロバイダのタイプ 「SAML」を選択
    プロバイダ名 任意の名称
    メタデータドキュメント トラスト・ログインからダウンロードしたメタデータをアップロードする

    09.png

  3. 作成されたIDプロバイダ名のリンクから概要画面を開き、「ARN」の値を控えておきます。
    11.png

② ポリシーの設定

  1. IAMコンソールで「ポリシー > ポリシーを作成」を開きます。
    12.png

  2. JSONタブを開き、以下のテンプレート内容をコピー&ペーストします。
    <connect instance ARN>の部分は「Amazon Connectのインスタンス・ユーザー作成」の手順2で取得した「Instance ARN」に置き換えます。
    「次のステップ:タグ」を押下し次へ進みます。

    {
    "Version": "2012-10-17",
    "Statement": [
    {
    "Sid": "Statement1",
    "Effect": "Allow",
    "Action": "connect:GetFederationToken",
    "Resource": [
    "<connect instance ARN>/user/${aws:userid}"
    ]
    }
    ]
    }


    13.png

  3. そのまま「次のステップ:確認」へ進みます。
    14.png

  4. ポリシーの「名前」に任意の名称を設定し、「ポリシーの作成」を押下します。
    15.png

③ ロールの設定

  1. IAMコンソールで「ロール > ロールを作成」を開きます。
    16.png

  2. 以下の通り設定し「次へ」を押下します。
    エンティティタイプ 「SAML 2.0 フェデレーション」を選択
    SAML 2.0ベースのプロバイダー 作成したIDプロバイダ を選択し
    「プログラムと AWS マネジメントコンソールへのアクセスを許可する」を選択

    17.png

  3. 作成したポリシーにチェックをし「次へ」を押下します。
    18.png

  4. 「ロール名」に任意の名称を設定し、「ロールを作成」を押下します。
    _19.png

  5. ロール一覧の作成したロール名のリンクから概要画面を開き、「ARN」の値を控えておきます。
    20.png


再度トラスト・ログインの設定に戻ります。

トラスト・ログインの管理ページの設定 (続き)

  1.  「サービスプロバイダーの設定」を以下の通り設定します。
    SP認証成功後の移行URL
    https://<リージョンid>.console.aws.amazon.com/connect/federate/<インスタンスid>

    「リージョンid」と「インスタンスid」はAmazon Connectの「Instance ARN」でご確認いただけます。

    例)「Instance ARN」が
    arn:aws:connect:us-east-1:xxxxxxxxxxxx:instance/xxxxxxxxxxxxxxxxxxxxxxx

    の場合、青字部分が「リージョンid」、赤字部分が「インスタンスid」となり、
    SP認証成功後の移行URLに設定する値は

    https://us-east-1.console.aws.amazon.com/connect/federate/xxxxxxxxxxxxxxxxxxxxxxx

    となります。

    ネームID用値 メンバー > email
    エンティティID urn:amazon:webservices
    ネームIDフォーマット 「persistent」を選択
    サービスへのACS URL https://signin.aws.amazon.com/saml

    21.png
  2. 「SAML属性の設定」の「カスタム属性を指定」ボタン押下し、「SAML属性を追加」ボタンで行(属性)を追加します。以下の通り設定します。
    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値
    subject Unspecified subject

    メンバー

    メンバーーメールアドレス

    下記①の値 Unspecified 下記①の値 固定値

    「ロールのARN」,「IDプロバイダのARN」

    (コンマ(,)でロールARNとIDプロバイダのARNを区切って表記)

    下記②の値 Unspecified 下記②の値 メンバー メンバーーメールアドレス

    ①:https://aws.amazon.com/SAML/Attributes/Role
    ②:https://aws.amazon.com/SAML/Attributes/RoleSessionName

    22.png

  3. 「登録」ボタンで保存します。

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
  4. 「マイページ」または「拡張機能」でアプリをクリックし、ログインが成功するかご確認ください。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。