翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ID プロバイダー (IdP ) を Amazon Connect Global Resiliency SAMLサインインエンドポイントと統合する
エージェントが一度サインインし、両方の AWS リージョンにログインして現在のアクティブなリージョンからの問い合わせを処理するには、グローバルサインインSAMLエンドポイントを使用するIAMように設定する必要があります。
開始する前に
Amazon Connect インスタンスSAMLで Amazon Connect Global Resiliency を使用するには、 を有効にする必要があります。IAM フェデレーションの開始方法の詳細については、「 2.0 SAML フェデレーティッドユーザーによる AWS マネジメントコンソールへのアクセスの有効化」を参照してください。
重要事項
-
このトピックのステップを実行するには、インスタンス ID が必要です。それを探す方法については、「Amazon Connect インスタンス ID を検索するか、 ARN」を参照してください。
-
Amazon Connect インスタンスのソースリージョンも知っておく必要があります。それを探す方法については、「Amazon Connect インスタンスのソースリージョンを確認する方法」を参照してください。
-
iframe 内に Connect アプリケーションを埋め込む場合は、グローバルサインインが機能するように、ソースインスタンスとレプリカインスタンスの両方でドメインが承認済みオリジンのリストに含まれていることを確認する必要があります。
インスタンスレベルで承認済みオリジンを設定するには、「」のステップに従いますAmazon Connect の統合アプリケーションの許可リストを使用する。
-
エージェントは既にソースとレプリカ Amazon Connect インスタンスの両方ので作成されており、ID プロバイダー (IdP) のロールセッション名と同じユーザー名を使用する必要があります。それ以外の場合は、
UserNotOnboardedException例外と、インスタンス間のエージェント冗長機能が失われるリスクがあります。 -
エージェントがサインインを試みる前に、エージェントをトラフィック分散グループに関連付ける必要があります。そうしないと、エージェントのサインインが失敗し、
ResourceNotFoundExceptionが表示されます。トラフィック分散グループを設定し、それらにエージェントを関連付ける方法については、「複数の AWS リージョンでエージェントを Amazon Connect インスタンスに関連付ける」を参照してください。 -
エージェントが新しいSAMLサインイン を使用して Amazon Connect にフェデレーションするとURL、Amazon Connect Global Resiliency
SignInConfigは、トラフィック分散グループで がどのように設定されていても、常にソースリージョン/インスタンスとレプリカリージョン/インスタンスの両方にエージェントをログインしようとします。これは、 CloudTrail ログをチェックすることで確認できます。 -
デフォルトのトラフィック
SignInConfigディストリビューショングループのディストリビューション AWS リージョン は、サインインを容易にするために使用される のみを決定します。SignInConfig分散がどのように設定されているかにかかわらず、Amazon Connect は常に Amazon Connect インスタンスの両方のリージョンにエージェントをサインインさせようとします。 -
Amazon Connect インスタンスをレプリケートした後、インスタンスに対して生成されるSAMLサインインエンドポイントは 1 つだけです。このエンドポイントには、常に AWS リージョン のソースが含まれますURL。
-
Amazon Connect Global Resiliency URLでパーソナライズされたSAMLサインインを使用する場合、リレー状態を設定する必要はありません。
ID プロバイダーの統合方法
-
を使用して Amazon Connect インスタンスのレプリカを作成するとReplicateInstanceAPI、Amazon Connect インスタンスにパーソナライズされたSAMLサインインURLが生成されます。URL は、次の形式で生成されます。
https://instance-id.source-region.sign-in.connect.aws/saml-
instance-idは、インスタンスグループ内のいずれかのインスタンスのインスタンス ID です。インスタンス ID はソースリージョンとレプリカリージョンで同一です。 -
source-regionは、 が呼び出ReplicateInstanceAPIされたソース AWS リージョンに対応します。
-
-
次の信頼ポリシーをIAMフェデレーションロールに追加します。次の例に示すように、グローバルサインインSAMLエンドポイントURLに を使用します。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Federated":[ "saml-provider-arn" ] }, "Action":"sts:AssumeRoleWithSAML", "Condition":{ "StringLike":{ "SAML:aud":[ "https://instance-id.source-region.sign-in.connect.aws/saml*" ] } } } ] }注記
saml-provider-arnは、 で作成された ID プロバイダーリソースですIAM。 -
IAM フェデレーションロール
InstanceIdのconnect:GetFederationTokenの へのアクセスを許可します。例:{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetFederationTokenAccess", "Effect": "Allow", "Action": "connect:GetFederationToken", "Resource": "*", "Condition": { "StringEquals": { "connect:InstanceId": "your-instance-id" } } } ] } -
以下の属性と値の文字列を使用して、ID プロバイダーアプリケーションに属性マッピングを追加します。
属性 値 https://aws.amazon.com/SAML/属性/ロール
saml-role-arn,identity-provider-arn -
ID プロバイダーURLのアサーションコンシューマーサービス (ACS) を、パーソナライズされたSAMLサインイン を指すように設定しますURL。では、次の例を使用しますACSURL。
https://instance-id.source-region.sign-in.connect.aws/saml?&instanceId=instance-id&accountId=your AWS account ID&role=saml-federation-role&idp=your SAML IDP&destination=optional-destination -
URL パラメータで次のフィールドを設定します。
-
instanceId: Amazon Connect インスタンスの識別子。インスタンス ID を見つける方法については、「Amazon Connect インスタンス ID を検索するか、 ARN」を参照してください。 -
accountId: Amazon Connect インスタンスがある AWS アカウント ID。 -
role: Amazon Connect フェデレーションに使用されるSAMLロールの名前または Amazon リソースネーム (ARN) に設定します。 Amazon Connect -
idp: で SAML ID プロバイダーの名前または Amazon リソースネーム (ARN) に設定しますIAM。 -
destination: エージェントがサインイン後にインスタンスにアクセスするオプションのパスに設定します (例:/agent-app-v2)。
-
