View a markdown version of this page

ID プロバイダー (IdP) を Connect Customer Global Resiliency SAML サインインエンドポイントと統合する - Amazon Connect Customer
[開始する前に]重要事項ID プロバイダーの統合方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ID プロバイダー (IdP) を Connect Customer Global Resiliency SAML サインインエンドポイントと統合する

エージェントが一度サインインし、両方の AWS リージョンにログインして現在のアクティブなリージョンからの問い合わせを処理するには、グローバルサインイン SAML エンドポイントを使用するように IAM 設定を構成する必要があります。

[開始する前に]

Connect Customer Global Resiliency を使用するには、Connect Customer インスタンスの SAML を有効にする必要があります。IAM フェデレーションの詳細については、「SAML 2.0 フェデレーティッドユーザーに AWS マネジメントコンソールへのアクセスを許可する」を参照してください。

重要事項

  • エージェントフェイルオーバーは、グローバルサインインエンドポイントを使用する場合にのみサポートされます。

  • このトピックのステップを実行するには、インスタンス ID が必要です。それを探す方法については、「Connect Customer インスタンス ID または ARN を検索する」を参照してください。

  • また、Connect Customer インスタンスのソースリージョンも知っておく必要があります。それを探す方法については、「Connect Customer インスタンスのソースリージョンを検索する方法」を参照してください。

  • iframe 内に Connect アプリケーションを埋め込む場合は、グローバルサインインが機能するように、ソースインスタンスとレプリカインスタンスの両方で承認済みオリジンのリストにドメインが含まれていることを確認する必要があります。

    インスタンスレベルで承認済みオリジンを設定するには、「Connect Customer の統合アプリケーションに許可リストを使用する」のステップに従います。

  • エージェントは、ソースとレプリカの両方の Connect Customer インスタンスに既に作成されており、ID プロバイダー (IdP) のロールセッション名と同じユーザー名を持っている必要があります。それ以外の場合は、UserNotOnboardedException 例外と、インスタンス間のエージェント冗長機能が失われるリスクがあります。

  • エージェントがサインインを試みる前に、エージェントをトラフィック分散グループに関連付ける必要があります。そうしないと、エージェントのサインインが失敗し、ResourceNotFoundException が表示されます。トラフィック分散グループを設定し、それらにエージェントを関連付ける方法については、「エージェントを複数の AWS リージョンにまたがる Connect Customer インスタンスに関連付ける」を参照してください。

  • エージェントが新しい SAML サインイン URL を使用して Connect Customer にフェデレーションする場合、Connect Customer Global Resiliency SignInConfigは、トラフィック分散グループで がどのように設定されていても、常にソースとレプリカの両方のリージョン/インスタンスにエージェントをログインしようとします。CloudTrail のログをチェックすることでこれを確認できます。

  • デフォルトのトラフィックSignInConfig分散グループの分散は AWS リージョン 、サインインに役立つ のみを決定します。SignInConfig ディストリビューションの設定に関係なく、Connect Customer は常に Connect Customer インスタンスの両方のリージョンにエージェントをサインインしようとします。

  • Connect Customer インスタンスをレプリケートすると、インスタンスに対して 1 つの SAML サインインエンドポイントのみが生成されます。このエンドポイントには、常に URL AWS リージョン にソースが含まれます。

  • Connect Customer Global Resiliency でパーソナライズされた SAML サインイン URL を使用する場合、リレーステートを設定する必要はありません。

ID プロバイダーの統合方法

  1. ReplicateInstance API を使用して Connect Customer インスタンスのレプリカを作成すると、Connect Customer インスタンス用にパーソナライズされた SAML サインイン URL が生成されます。URL は次の形式で生成されます。

    https://instance-id.source-region.sign-in.connect.aws/saml

    1. instance-id は、インスタンスグループ内のいずれかのインスタンスのインスタンス ID です。インスタンス ID はソースリージョンとレプリカリージョンで同一です。

    2. source-region は、ReplicateInstance API が呼び出されたソース AWS リージョンに対応します。

  2. IAM フェデレーションロールに次の信頼ポリシーを追加します。次の例のように、グローバルサインイン SAML エンドポイントの URL を使用します。

    JSON
    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":[
              "arn:aws:iam::111122223333:saml-provider/MySAMLProvider"
            ]
         },
         "Action":"sts:AssumeRoleWithSAML",
         "Condition":{
            "StringLike":{
               "SAML:aud":[
                  "https://instance-id.source-region.sign-in.connect.aws/saml*"
               ]
            }
         }
      }
   ]
}
    注記

    saml-provider-arn は、IAM で作成された ID プロバイダーリソースです。

  3. IAM フェデレーションロールの InstanceId 向けに、connect:GetFederationToken にアクセス権を付与します。例えば、次のようになります。

    JSON
    {
"Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "GetFederationTokenAccess",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:InstanceId": "your-instance-id"
                }
            }
        }
    ]
}

  4. 以下の属性と値の文字列を使用して、ID プロバイダーアプリケーションに属性マッピングを追加します。

    属性

    https://aws.amazon.com/SAML/Attributes/Role

    saml-role-arnidentity-provider-arn

  5. ID プロバイダーの Assertion Consumer Service (ACS) URL を、パーソナライズされた SAML サインイン URL を指すように設定します。ACS URL の次の例を使用します。

    https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination

  6. URL パラメータに次のフィールドを設定します。

    • instanceId: Connect Customer インスタンスの識別子。インスタンス ID を見つける方法については、「Connect Customer インスタンス ID または ARN を検索する」を参照してください。

    • accountId: Connect Customer インスタンスが配置されている AWS アカウント ID。

    • role: Connect Customer フェデレーションに使用される SAML ロールの名前または Amazon リソースネーム (ARN) に設定します。

    • idp: IAM の SAML ID プロバイダーの名前または Amazon リソースネーム (ARN)に設定します。

    • destination: エージェントがサインイン後にインスタンスにアクセスするオプションのパスに設定します (例:/agent-app-v2)。