Amazon Connectの認証方式としてSAMLを選択し、IdPとしてMicrosoft Entra IDを使用する場合、Entra ID側のユーザープリンシパル名（userprincipalname）とAmazon Connectのログインユーザー名を一致させた運用が一般的かと思います。
本記事ではユーザープリンシパル名ではなく、メールアドレスを使用する設定方法を紹介します。

• はじめに
• 認識の確認
• 一般的な設定確認
• 設定変更
• 動作確認
  • Entra ID上のユーザー設定
  • アプリケーションアクセス
• 参考

はじめに

一般的にはEntra IDのユーザープリンシパル名（UPN）は ユーザー名@ドメイン名 であり、メールアドレスと近い形式となっています。
このため、ユーザープリンシパル名＝メールアドレスとして運用することが多いと思われます。
Amazon Connectのログインユーザー名も、およそメールアドレス形式で問題ないので自然な設定・運用だと考えられます。

ただし、プリンシパル名を異なる形式で設計している場合や、Amazon Connectのログインユーザー名の制約とマッチしない場合等、ユーザープリンシパル名以外の値を使用しなければならないケースが想定されます。
本記事の内容は、このような少しイレギュラーケースの対応方法となります。

認識の確認

Amazon ConnectのSAML認証においては、 https://aws.amazon.com/SAML/Attributes/RoleSessionName で連携された値がAmazon Connectのログインユーザー名と照合されます。

一般的に公開されている設定手順では、Azureへエンタープライズ アプリケーションを追加する際にAWSのテンプレートを使用する流れになっており、その場合 https://aws.amazon.com/SAML/Attributes/RoleSessionName の値は user.userprincipalname に設定されます。

ユーザープリンシパル名以外をAmazon Connectのログインユーザー名としたい場合は、連携する値を変更することで対応可能です。

一般的な設定確認

一般的には下記のように https://aws.amazon.com/SAML/Attributes/RoleSessionName の値は user.userprincipalname に設定されています。

設定変更

「属性とクレーム」セクションの 「編集」 ボタンを操作し、 https://aws.amazon.com/SAML/Attributes/RoleSessionName の値を user.mail へ変更します。

変更後の表示を確認します。

動作確認

Entra ID上のユーザー設定

Entra ID上のユーザー設定を確認します。
ユーザープリンシパル名とは異なるメールアドレスが設定されています。
Amazon Connect側ではこのメールアドレス文字列がログインユーザー名となるようにユーザー作成しておきます。

アプリケーションアクセス

該当ユーザーのアプリダッシュボードからアクセスします。
メールアドレスでAmazon Connectへ認証されることを確認できます。

参考

• Amazon Connect へ Microsoft Entra IDからシングルサインオン(SAML)する設定手順 - サーバーワークスエンジニアブログ
• Amazon Connect での IAM を使用した SAML の設定 - Amazon Connect