2.IDプロバイダ設定

2.1.ポリシー作成

1. AWSマネジメントコンソールへログインし、IAMサービスページを開きます
2. 左メニュー [ポリシー] を選択し、 [ポリシーの作成] ボタンをクリックします
3. ポリシーエディタで [JSON] を選択し、下記の内容を入力します

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "Statement1",
               "Effect": "Allow",
               "Action": "connect:GetFederationToken",
               "Resource": [
                   "**YOUR ARN**/user/${aws:userid}"
               ]
           }
       ]
   }
4. JSON内の **YOUR ARN** 部分を対象とするConnectインスタンスARNに書き換え、[次へ] をクリックします
   
5. [ポリシー名] を指定し、[ポリシーの作成] ボタンをクリックします
   • （例: OneLoginConnectPolicy ）
     

2.IDプロバイダ設定

1. AWSマネジメントコンソールへログインし、IAMサービスページを開きます

2. 左メニュー [IDプロバイダ] を選択します

3. [IDプロバイダの追加] 画面で下記のように指定し [プロバイダを追加] ボタンをクリックします

   • [プロバイダのタイプ] には SAML を選択します
   • [プロバイダ名] に適切な名前を入力します （例: OneLoginConnectProvider ）
   • [メターデータドキュメント] へ [ファイルを選択] し、OneLogin管理画面でダウンロードしたXML形式のメタデータファイルをアップロードします
     

4. [ロールの割り当て] ボタンをクリックし、表示されたダイアログで [新しいロールを作成] を選択、 [次へ] ボタンをクリックします
   

5. [ロールの作成] 画面で下記のように指定し [次へ] ボタンをクリックします

   • [信頼されたエンティティの種類] へ SAML2.0フェデレーション を選択します
   • [SAML2.0ベースのプロバイダー] へ 作成したIDプロバイダー名を選択します
   • [プログラムによるアクセスとAWSマネジメントコンソールによるアクセスを許可する] を選択します
   • [条件を追加] ボタンをクリックし、下記指定します
     • [キー] へ SAML:aud を選択します
     • [条件] へ StringEquals を選択します
     • [値] へ https://ap-northeast-1.signin.aws.amazon.com/saml を入力します
       

6. [許可を追加] 画面で 先の手順で作成したポリシーを選択し [次へ] ボタンをクリックします
   

7. [名前、確認、および作成] 画面でロール名を指定し、 [ロールを作成] ボタンをクリックします

   • （例: OneLoginConnectRole ）
     

8. 作成されたロールを表示し、ロールARNを確認、パラメータシートNo.SO-2(IDプロバイダロールARN) へ記載します

9. 最後に、作成したIDプロバイダの概要画面を開き、IDプロバイダのARNを確認、パラメータシートNo.SO-3(IDプロバイダARN) へ記載します

リージョンのSAMLエンドポイントを指定する

ロール作成手順で https://ap-northeast-1.signin.aws.amazon.com/saml を追加指定していますが、これは可用性を高めるためにAmazon Connectと同じ東京リージョンのエンドポイントを利用する設定です。

参考ドキュメント: https://docs.aws.amazon.com/ja_jp/connect/latest/adminguide/configure-saml.html#regionally-isolated-saml