このAWSガイドでは、Amazon ConnectとのSSOを設定する方法と、Google WorkspaceをIDプロバイダーとして設定する方法について 詳しく説明します。

サービス管理ポリシー（SCP）を使用して、ユーザーとロールが Amazon Connectで実行できる操作に関する権限を管理し、重要なリソースを保護し、 システムの安全性を向上させることをお勧めします。

推奨記事：Amazon Connectのセキュリティのベストプラクティス

以下は、Amazon Connectインスタンスと関連ロールの削除 を防ぐために使用できるSCPの例です。

<pre><code class="language-json">
&lt;pre&gt;&lt;code class=&quot;language-json&quot;&gt;
{
 "Version":"2012-10-17",
 "Statement": [
 {
 "Sid":"AmazonConnectRoleDenyDeletion",
 "Effect":"Deny",
 "Action": [
 "iam:DeleteRole"
 ],
 "Resource": [
 "arn:aws:iam::*:role/***Amazon Connect user role***"
 ]
 },
 {
 "Sid":"AmazonConnectInstanceDenyDeletion",
 "Effect":"Deny",
 "Action": [
 "connect:DeleteInstance"
 ],
 "Resource": [
 "***Amazon Connect instance ARN***"
 ]
 }
 ]
}
&lt;/pre&gt;&lt;/code&gt;
</pre></code>

コンタクトセンターのシングルサインオン（SSO）は、SAMLアプリケーションをサインインに使用するようにCognito ユーザープールを設定することで実装されます。このCognitoユーザープールは 、コンタクトセンターCloudFormationテンプレートによって作成されたものです。

コンタクトセンターのSSOを設定するには

ZendeskコンタクトセンターCloudFormationスタックが作成された AWSアカウントにサインインします。Cognitoサービスに移動し（正しい リージョンにいることを確認します）、コンタクト センターCloudFormationスタックの作成時に作成されたユーザープールを開きます。次の画像のように 、ユーザープールIDを書き留めておきます。

「アプリのインテグレーション」タブをクリックし、Cognitoドメインのプレフィックスをメモします。これは、 Cognitoドメインの最初の部分であり、下の図でハイライトされている 「.auth.regionxxx」の前の部分です。これはCloudFormationテンプレートで指定された値でもあるため 、必要に応じて CloudFormationのパラメータタブからコピーすることもできます。

Google Workspaceで管理コンソールを開きます。左端のナビゲーションパネルで、 「アプリ」ドロップダウン矢印を選択し、「Webおよびモバイルアプリ」に移動します。「アプリを追加」をクリックし 、「カスタムSAMLアプリを追加」を選択します。

Google WorkspaceアプリにSAMLインテグレーションを設定するには

1. 「アプリの詳細」セクションで、アプリの名前とオプションの説明 を入力し、アイコンを選択します。
2. 「続行」をクリックします。
3. 「メタデータをダウンロード」をクリックします。このファイルは、AWSでCognito 設定を完了するために使用されます。
4. 「続行」をクリックします。
5. 「サービスプロバイダの詳細」の下にある次のフィールドに入力します。
   • ACS URL： https://${yourDomainPrefix}.auth.{region}.amazoncognito.com/saml2/idpresponse.
   • エンティティID：urn:amazon:cognito:sp:${yourUserPoolId}
   • 名前ID形式：エンティティ
   • 名前ID：「基本情報」>「メインのメールアドレス」
   メモ：${yourDomainPrefix}、${region}、 ${yourUserPoolId}をCognitoユーザー プールの値で置き換えます。

   

6. 「続行」をクリックします。
7. 「属性のマッピング」で、次 の値を持つGoogle Directory属性を追加します。

   Google Directoryの属性	値
   メインのメールアドレス	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

8. 「終了」をクリックします。

SAMLアプリを作成すると、デフォルトで無効になります。つまり、 Google Workspaceアカウントにログインしたユーザーには、 SAMLアプリは表示されません。次に、Google Workspaceのユーザー用にコンタクトセンターアプリを有効にします。

ユーザーにGoogle Workspaceへのアクセスを許可するには

1. コンタクトセンターアプリの設定で「ユーザーアクセス」に移動します。
2. 「詳細を表示」をクリックします。
3. 組織内の全員に対してサービスを有効にするには、「 全員を有効にする」をクリックします。
4. 「保存」をクリックします。

すべてのユーザーに対してこのアプリケーションをアクティブにしたくない場合は、 Google Workspaceの組織部門を活用し、一部のユーザーに対してのみコンタクトセンター アプリをアクティブにすることができます。

IDプロバイダーを設定するには

1. Cognitoユーザープールを含むAWSアカウントにサインインします。Cognitoに移動し 、ユーザープールを開きます。
2. 「サインインエクスペリエンス」タブを選択し、 下の図に示すように、「IDプロバイダーを追加」をクリックします。

   

3. 表示されたページで、「SAML」を選択します。
4. 「このユーザープールでSAMLフェデレーションを設定する」で、次の操作を行います。
   • プロバイダー名：このIDプロバイダーの名前を入力します。 googleなどの名前にはスペースを含めないことをお勧めします。
   • メタデータドキュメントソース：Google Workspaceコンソールでダウンロードした メタデータファイルをアップロードします。
5. 「SAMLプロバイダーとユーザープールの間で属性をマッピング」で、 次の属性を設定します。

   ユーザープール属性	SAML属性
   メール	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

6. 「IDプロバイダーを追加」をクリックします。

この時点で、必要なIDプロバイダーが作成されました。Cognito設定の最後の 手順では、アプリクライアントがこの IDプロバイダーを使用するように指定します。

IDプロバイダーを指定するには

1. タブ付きビューから「アプリのインテグレーション」を選択し、 下までスクロールして「アプリクライアント」をクリックして開きます。
2. アプリクライアントを開いたら、「ホストされたUI」セクションまで下にスクロールし、 「編集」をクリックします。

   

3. 「ホストされた登録ページとサインインページ」で、「IDプロバイダー」 ドロップダウンリストまでスクロールします。これをクリックし、前の手順で設定した IDプロバイダーを選択します。
4. 「変更を保存」をクリックします。
5. Zendeskは、アカウントの設定を完了するために 、IDPの名前（「サインインエクスペリエンス」で設定）を必要とします。これをCloudFormation の出力情報と一緒に含めます。