このAWSガイドでは、Azure ADをIDプロバイダーとして Amazon ConnectのSSOを設定する方法について説明します。

サービス管理ポリシー（SCP）を使用して、 ユーザーとロールがAmazon Connectで実行できる操作に関する権限を管理し、重要なリソースを保護し、 システムの安全性を向上させることをお勧めします。

推奨記事：Amazon Connectのセキュリティのベストプラクティス

以下は、Amazon Connectインスタンスと関連ロールの削除 を防ぐために使用できるSCPの例です。

<pre><code class="language-json">
&lt;pre&gt;&lt;code class=&quot;language-json&quot;&gt;
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid":"AmazonConnectRoleDenyDeletion",
      "Effect":"Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/***Amazon Connect user role***"
      ]
    },
    {
      "Sid":"AmazonConnectInstanceDenyDeletion",
      "Effect":"Deny",
      "Action": [
        "connect:DeleteInstance"
      ],
      "Resource": [
        "***Amazon Connect instance ARN***"
      ]
    }
  ]
}
&lt;/pre&gt;&lt;/code&gt;
</pre></code>

コンタクトセンターのシングルサインオン（SSO）は、SAMLアプリケーションをサインインに使用するように Cognitoユーザープールを設定することで実装されます。Cognitoユーザープールは、 コンタクトセンターCloudFormationテンプレートによって作成されたものです。

以下に、 従う必要のあるプロセスの概要を示します。

1. 必要なCognitoユーザープールの詳細を収集します。
2. Azure ADポータルでSAMLアプリケーションを作成します。
3. CognitoユーザープールでIDプロバイダーを設定します。
4. エージェント 認証に使用するIDプロバイダーを指定します。

コンタクトセンターのSSOを設定するには

必要なCognitoユーザープールの詳細を収集する

1. コンタクトセンターCloudFormationスタックが作成された AWSアカウントにログインします。Cognitoサービスに移動し（正しい リージョンにいることを確認します）、コンタクトセンター CloudFormationスタックの作成時に作成されたユーザープールを開きます。次の図に示すように、 ユーザープールIDに注目してください。

   

2. 「アプリのインテグレーション」タブをクリックし、Cognitoドメインプレフィックスをメモします。これは、 Cognitoドメインの最初の部分で、「.auth.regionxxx」の前の部分です。これは CloudFormationテンプレートで指定された値でもあるため、 必要に応じてCloudFormationのパラメータタブからコピーできます。

Azure ADポータルでSAMLアプリケーションを作成するには

1. Azureポータルにサインインし、「Azureサービス」セクションで「Azure アクティブディレクトリ」を選択します。
2. 左側のサイドバーで、「エンタープライズアプリケーション」を選択します。
3. 「新規アプリケーション」をクリックし、「独自のアプリケーションを作成」をクリックします。次の フィールドに入力します。
   • 入力名：「Zendesk Contact Center production」のように、アプリケーションに名前を付けます。「ギャラリーにない他のアプリケーションを統合する （非ギャラリー）」を選択します。「作成」を選択します。

     

     アプリケーションがAzure ADで作成され、 新しく追加されたアプリケーションの概要ページにリダイレクトされるまで 数秒かかります。

SAMLを使用してシングルサインオンを設定するには

1. 「はじめましょう」ページの「シングルサインオンを設定」タイルで、「設定 開始」をクリックします。

   

2. 次の画面で、「SAML」を選択します。
3. 「SAMLを使用したシングルサインオンの設定」の中央ペインの 「基本SAML設定」セクションで、編集アイコンをクリックします。
4. 「SAMLを使用したシングルサインオンの設定」で中央のペインに移動します。
5. 「ユーザー属性とクレーム」セクションで、「編集」をクリックします。
6. 次のフィールド値を入力します。
   • 識別子（エンティティID）： urn:amazon:cognito:sp:${pool ID}
   • 返信URL（アサーションコンシューマサービスURL）： https://${DomainPrefix}.auth.${RegionID}.amazoncognito.com/saml2/idpresponse
   • [.callout-primary--alert-message]

   上記のプレースホルダをCognitoユーザープールからコピーした値に置き換えます。 [.callout-primary--alert-message]

   

7. 「グループクレームを追加」をクリックします。
8. 「ユーザー属性とクレーム」ページの右ペインの「グループクレーム」で、 「アプリケーションに割り当てられたグループ」を選択します。次のスクリーンショットに示すように、「ソース」属性を「 グループID」のままにします。

   

9. 「保存」をクリックします。
10. 「ユーザー属性とクレーム」ページを閉じます。「SAMLを使用したシングルサインオンを設定 」ページにリダイレクトされます。
11. 「SAML署名認証」セクションまでスクロールし、「クリップボードにコピー」アイコンを選択して 、アプリフェデレーションのメタデータのURLをコピーします。このURLは次の手順で必要になるので、 手元に置いておいてください。

    

CognitoユーザープールでIDプロバイダーを設定するには

1. Cognitoユーザープールを含むAWSアカウントにサインインします。
2. Cognitoに移動し、ユーザープールを開きます。
3. 「サインインエクスペリエンス」タブを選択し、「IDプロバイダーを追加」をクリックします。

   

4. 次のページで、「SAML」を選択します。
5. 「このユーザープールでSAMLフェデレーションを設定する」で、次のように設定します。
   • プロバイダー名：このIDプロバイダーの名前を入力します。 名前にはスペースを含めないことをお勧めします。
   • メタデータドキュメントソース：前の手順でコピーしたメタデータのURLを メタデータエンドポイントURLフィールドに貼り付けます。
6. 「SAMLプロバイダーとユーザープールの間で属性をマッピング」で、 次の属性を設定します。

   ユーザープール属性	SAML属性
   メール	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

7. 「IDプロバイダーを追加」をクリックします。

   この時点で、 必要なIDプロバイダーが作成されました。Cognito 設定の最後のステップは、アプリクライアントがエージェント認証に このIDプロバイダーを使用することを指定することです。

エージェント認証に使用するIDプロバイダーを指定するには

1. タブ付きビューから「アプリのインテグレーション」を選択し、 下までスクロールして「アプリクライアント」をクリックして開きます。
2. 「ホストされたUI」セクションまで下にスクロールし、「編集」をクリックします。

   

3. 「ホストされた登録ページとサインインページ」で、「IDプロバイダー 」ドロップダウンリストまでスクロールします。前の手順で設定した IDプロバイダーを選択します。
4. 「変更を保存」をクリックします。
5. Zendeskは、アカウントの設定を完了するために 、IDPの名前（「サインインエクスペリエンス」で設定）を必要とします。これをCloudFormationの出力とともに Zendeskと共有する情報に含めます。