• はじめに
• 前提条件
• 構築手順
  • 1. Amazon Connect インスタンスを新規作成
  • 2. Entra ID へ SAML によるシングルサインオンの設定
  • 3. AWS へ ID プロバイダ設定
  • 4. AWS へロールの設定
  • 5. Entra 側の連携設定
  • 6. Amazon Connect のユーザー登録
  • 7. 動作確認
• おわりに

はじめに

こんにちは、サーバーワークスのディベロップメントサービス2課の池田です。

本記事では Microsoft Entra ID と Amazon Connect を SAML 2.0 で連携し、シングルサインオン (SSO) を構成する手順を紹介します。
通話フローや CTI 連携には踏み込まず、Entra ID と Amazon Connect の SAML 設定について記載します。

前提条件

• AWS アカウント作成済み
• Microsoft Entra ID のテナント作成済み

構築手順

1. Amazon Connect インスタンスを新規作成

1. AWS マネジメントコンソール → Amazon Connect → インスタンスを追加する
   

2. SAML 2.0 ベースの認証 を選択し、任意のアクセス URL を設定して 次へ
   

3. 管理者なし を選択して 次へ
   

4. 以降はデフォルト設定で 次へ
   

5. もう一度 次へ
   

6. インスタンスの作成 を選択
   

7. 作成完了後、赤枠の インスタンス ID を控える
   

2. Entra ID へ SAML によるシングルサインオンの設定

1. Microsoft Entra IDの管理センター を選択

2. エンタープライズ アプリケーション を選択

3. 新しいアプリケーション を選択

4. Amazon Web Service (AWS) を選択
   

5. AWS Single-Account Access を選択し 作成
   

6. シングル サインオン → SAML
   
   

7. 保存 を求められたら はい
   

8. SAML 証明書 ブロックで フェデレーション メタデータ XML をダウンロード
   

3. AWS へ ID プロバイダ設定

1. IAM → ID プロバイダ → プロバイダを追加
   

2. SAML を選択し、プロバイダ名に entra-sso-example を入力
   メタデータドキュメントに手順 2-8 で取得した XML をアップロード → プロバイダを追加
   

3. 作成後、プロバイダ ARN を保存
   

4. AWS へロールの設定

1. IAM → ポリシー → ポリシーの作成
   

2. JSON タブを選択し、以下を貼り付けて 次へ
   

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowConnectFederation",
                "Effect": "Allow",
                "Action": "connect:GetFederationToken",
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "connect:InstanceId": "手順1で控えたインスタンス ID"
                    }
                }
            }
        ]
    }
   

   参照: https://docs.aws.amazon.com/ja_jp/connect/latest/adminguide/configure-saml.html

3. ポリシー名に AmazonConnectEntraSso を入力し ポリシーの作成
   

4. IAM → ロール → ロールを作成
   

5. SAML 2.0 フェデレーション を選択し entra-sso-example を指定
   「プログラムと AWS マネジメントコンソールへのアクセスを許可する」をチェックし、リージョンは東京 (ap-northeast-1)、非リージョンレベルのエンドポイントを指定 → 次へ
   
   

6. ポリシーに AmazonConnectEntraSso をアタッチ → 次へ
   

7. ロール名に AmazonConnectEntra と入力し ロールを作成
   
   

8. 作成後、ロール ARN を保存
   

5. Entra 側の連携設定

1. アプリの シングル サインオン → 基本的な SAML 構成 → 編集
   

2. リレー状態 に次を入力し 保存

    https://ap-northeast-1.console.aws.amazon.com/connect/federate/[インスタンス ID]?destination=%2Fconnect%2Fhome
   

   
   参照: https://docs.aws.amazon.com/ja_jp/connect/latest/adminguide/configure-saml.html#destination-relay

3. 属性とクレーム → 編集 を選択
   

4. Roleのレコード を選択
   

5. ソース属性に 手順 4 で作成した ロール ARN と 手順 3 で作成した ID プロバイダ ARN をカンマ区切りで入力
   
   参照: https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-attribute

6. ユーザーとグループ → ユーザまたはグループの追加
   

7. 対象ユーザーを選択し 選択
   このとき詳細ペインに表示される ユーザー プリンシパル名 を控える
   

6. Amazon Connect のユーザー登録

1. Connect 管理画面 → ユーザー → 新しいユーザの追加
   

2. 名・姓を入力し、ログイン に手順 5-7 で控えた ユーザー プリンシパル名 を入力 → 保存
   

7. 動作確認

1. アプリの シングル サインオン 画面下部 Test → サインインのテスト
   

2. ブラウザーがリダイレクトし、Amazon Connect のホーム画面が表示されればテスト成功
   

3. MyAppへ登録したユーザでログインし、AWS Single-Account Access を選択することでAmazon Connectを利用することができます ↓

おわりに

Microsoft Entra ID と Amazon Connect を連携することで、ID 管理を一本化することが可能です。
ご参考になれば幸いです。