docomo business | NTT Communications
トップ
arrow
操作マニュアル:その他の管理者向け情報
arrow
SAML認証(シングルサインオン)-Azure Active Directoryの初期設定

SAML認証(シングルサインオン)-Azure Active Directoryの初期設定

最終更新日: 2022年4月28日 14:28

Azure Active Directoryを利用したSAML認証(シングルサインオン)をご利用いただく場合に必要な設定です。
ご希望の場合は事前に弊社担当者にご相談ください。

事前準備

以下はAzure Active Directory上での設定に必要な情報です。
お客さまにてAWS IAM、Amazon Cognitoの設定を実施いただく場合は、別途弊社から手順書をお渡します。以下の情報の取得方法をご確認ください。
弊社にてAWS IAM、Amazon Cognitoの設定を実施する場合は、以下の情報をお渡しします。
お手元にあるかご確認ください。ない場合は弊社担当者へご連絡ください。

  • IDプロバイダーおよびロールのARN
  • CognitoプールID
  • Amazon Connectインスタンス名
  • Amazon ConnectインスタンスID


設定概要

Azure Active Directory上で実施いただく設定を3つに分けてご説明します。

  • Azure Active Directoryユーザーの作成
  • Amazon Connect用アプリケーションの作成
  • Amazon Cognito用アプリケーションの作成


Azure Active Directoryユーザーの作成

Note補足

Your Connectに紐付けたいユーザーをAzure Active Directory上で作成済みの場合は、本手順をスキップしてください。

Caution重要

以降の手順でAzure Active Directoryの「ユーザー プリンシパル名」を設定します。
こちらはAmazon Connectの「ユーザー管理設定」で使用する「ログイン名」と同一にしてください。


1.Azure Portalのホーム画面にアクセスします。
2.Azure サービスから「ユーザー」を選択します。
一覧に無い場合は、検索欄で「ユーザー」を検索します。


3.「+新しいユーザー」、「+新しいゲスト ユーザー」、「一括操作」をクリックしてユーザーを追加します。
「+新しいユーザー」を選択した場合の手順を解説します。

「+新しいユーザー」からユーザーを作成する方法

「ユーザーの作成」を選択します。登録したいユーザーの以下項目を設定します。「作成」を押下することで追加できます。

  • ユーザー名
  • 名前
  • パスワード

登録したユーザー名がユーザープリンシパル名になります。

Amazon Connect用アプリケーションの作成

1.Azure Portalのホーム画面にアクセスします。
2.Azure サービスから「Azure Active Directory」を選択します。一覧に無い場合は、検索欄で「Azure Active Directory」を検索します。

Amazon Connect用アプリケーションの作成

1.Azure Active Directoryのホーム画面から「エンタープライズ アプリケーション」を選択します。


2.「+新しいアプリケーション」を選択します。


3.「独自のアプリケーションの作成」を選択します。


4.独自のアプリケーションの追加ページにて、名前を「Amazon Connect」(名前は自由)とします。「追加」を押下します。

Amazon Connect用アプリケーションへユーザーを追加

1.アプリケーションの概要ページにて、「1. ユーザーとグループの割り当て」を押下します。


2.ユーザーとグループページにて、「+ユーザーの追加」を押下します。


3.Your Connectを利用するユーザーを追加します。
 ユーザー一覧から追加したいユーザーをクリックします。選択を押下することで追加されます。

シングルサインオンの設定

1.エンタープライズアプリケーション > Amazon Connect (アプリケーション名) 概要欄にアクセスします。
2.「シングルサインオンの設定」を選択します。


3.シングル サインオン方式の選択で、「SAML」を選択します。



4.シングルサインオンの設定項目には、キャプチャのように①〜④の設定項目があります。
5.③SAML署名証明書の「編集」を押下し、「フェデレーションメタデータXML」をダウンロードします。

Caution重要

SAML署名証明書には3年の有効期限が設定されています。(2020年10月時点)
期限前にメタデータを更新するようにしてください。


6.①「基本的なSAML構成」の編集ボタンを押下します。


7.以下のように値を設定します。設定後、「保存」ボタンを押下します。

Caution重要

エンティティID
識別子(エンティティID)は重複不可です。
上記のエンティティIDが他のアプリケーションで使用済みの場合は、末尾に#1をつけてください。

Amazon ConnectのインスタンスID
お手元にない場合は弊社にお問い合わせください。


8.Azure Active Directoryのシングルサインオンの設定から「ユーザー属性とクレーム」の編集を押下します。


9.ユーザー属性とクレームを以下のように設定します。
以下のように、「追加の要求」にクレームを2つ追加する必要があります。
新しいクレームを追加するには、「+新しいクレームの追加」を押下します。

   例:arn:aws:iam::123456789098:role/Azure-role, arn:aws:iam::123456789098:saml-provider/AzureAD


Note補足

ソース属性の値
AWS IAMで設定したRoleとProviderのARNをカンマ区切りで入力します。
(AWS IAMロールARN),(プロバイダーのARN)

事前に弊社にてAWS IAMの設定を行った場合、以下の情報をご確認いただく必要がございます。担当者へお問い合わせください。

  • AWS IAMロールARN:'arn:aws:iam::123456789098:role/Azure-role'
  • プロバイダーのARN:'arn:aws:iam::123456789098:saml-provider/AzureAD'


Note補足

シングルサインオン設定⑤<アプリケーション名>でシングルサインオンをTestする方法
「Test」を押下すると以下の画面が表示されます。
「現在のユーザーとしてサインイン」または「他のユーザーとしてサインインする」で、サインオンのテストを実施できます。
「他のユーザーとしてサインインする」オプションを利用するには、同一ブラウザーで他のユーザーでログインする必要があります。

Amazon Cognito用アプリケーションの作成

Amazon Cognito用アプリケーションの作成

1.Azure Active Directoryのホーム画面から「エンタープライズ アプリケーション」を選択します。


2.「+新しいアプリケーション」を選択します。


3.「独自のアプリケーションの作成」を選択します。


4.独自のアプリケーションの追加ページにて、名前を「Amazon Cognito」(名前は自由)とします。「追加」を押下します。

Amazon Cognito用アプリケーションへユーザーを追加

1.アプリケーションの概要ページにて、「1. ユーザーとグループの割り当て」を押下します。


2.ユーザーとグループページにて、「+ユーザーの追加」を押下します。


3.Your Connectを利用するユーザーを追加します。


4.ユーザー一覧から追加したいユーザーをクリックします。選択を押下することで追加されます。

シングルサインオンの設定

1.エンタープライズアプリケーション > Amazon Cognito (アプリケーション名) 概要欄にアクセスします。
2.「シングルサインオンの設定」を選択します。


3.シングル サインオン方式の選択で、「SAML」を選択します。


4.シングルサインオンの設定項目には、キャプチャのように①〜④の設定項目があります。


5.①「基本的なSAML構成」の編集ボタンを押下します。


6.以下のように値を設定します。設定後、「保存」ボタンを押下します。

  • 識別子(エンティティID):urn:amazon:cognito:sp:<CognitoのプールID>
  • 応答URL:https://<Amazon Connectインスタンス名>.auth.ap-northeast-1.amazoncognito.com/saml2/idpresponse
Note補足

「エンティティID」と「応答URL」
事前に弊社にてAWS IAMの設定を行った場合、以下の情報をご確認いただく必要がございます。担当者へお問い合わせください。

  • CognitoのプールID
  • Amazon Connectインスタンス名
Caution重要

Azure Active Directoryの設定完了後、必ず弊社へご提出ください

  • 弊社にてAWS IAM、AWS Cognitoの設定を実施する場合
    • Amazon Connect用アプリケーションの「フェデレーションメタデータXML」
    • Azure Active Directoryのエンタープライズアプリケーション「Amazon Cognito」(アプリケーション名)のシングルサインオン設定項目にある「アプリのフェデレーション メタデータURL」
    • Azure Active DirectoryのAmazon Connect用アプリケーションの「ユーザーのアクセスURL」


  • お客さまにてAWS IAM、AWS Cognitoの設定を実施いただく場合
    • Azure Active DirectoryのAmazon Connect用アプリケーションの「ユーザーのアクセスURL」
Note補足

Amazon Connect用アプリケーションの「フェデレーションメタデータXML」確認方法

1.Azure Active Directoryのエンタープライズアプリケーション「Amazon Connect」(アプリケーション名)ページにアクセスします。
2.「シングルサインオンの設定」>「SAML」を選択します。
3.「SAMLベースのサインオン」ページの③「SAML署名証明書」にある「アプリのフェデレーション メタデータXML」をダウンロードします。

Azure Active Directoryのエンタープライズアプリケーション「Amazon Cognito」(アプリケーション名)のシングルサインオン設定項目にある「アプリのフェデレーション メタデータURL」確認方法

1.Azure Active Directoryのエンタープライズアプリケーション「Amazon Cognito」(アプリケーション名)ページにアクセスします。
2.「シングルサインオンの設定」>「SAML」を選択します。
3.「SAMLベースのサインオン」ページの③「SAML署名証明書」にある「アプリのフェデレーション メタデータURL」をコピーして貼り付けます。

Azure Active DirectoryのAmazon Connect用アプリケーションの「ユーザーのアクセスURL」確認方法

1.Azure Active Directoryのエンタープライズアプリケーション「Amazon Connect」(アプリケーション名)ページにアクセスします。
2.管理>プロパティを押下します。
3.プロパティのページにある「ユーザーのアクセスURL」をコピーして貼り付けます。


回答が見つかりましたか?
はい
いいえ

お困りのことについてポータルサイトに記載されていない場合は、開発者が把握していないエラーが発生している可能性があります。

フィードバックを送るページから「ご要望」としてコメントをお寄せください。


previous
一覧に戻る