9
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

IBM Security Verfiy で Amazon Connect とSAML連携する

Last updated at Posted at 2021-01-25

はじめに

IBM Security Verify と Amazon Connect でSAML連携してみました。
AWSアカウントの準備から必要な場合には、参考リンクをご参照ください。

Amazon Connect の参考情報

以下のAmazon Connectのマニュアルを参考にしました。

  • トライアルの申し込み

Amazon Connect よくある質問
https://aws.amazon.com/jp/connect/faqs/

  • SAML連携ガイド

Amazon Connect での IAM を使用した SAML の設定
https://docs.aws.amazon.com/ja_jp/connect/latest/adminguide/configure-saml.html

Amazon Connect SAML連携のポイント

  • SP initiated SSOはサポートしていない。
  • Amazon Connectへのユーザー登録は別途必要となる。
  • IBM Security VerifyはAmazon Connectのユーザープロビジョニングはサポートしていない。
  • Amazon Web Seriveは、属性として以下を渡す必要がある。
属性名 備考
https://aws.amazon.com/SAML/Attributes/Role arn:aws:iam::Amazon Web Services アカウント ID:role/Amazon Web Services の役割名,arn:aws:iam::Amazon Web Services アカウント ID:saml-provider/Amazon Web Services のプロバイダー Amazon Web Serviceから値を取得
https://aws.amazon.com/SAML/Attributes/RoleSessionName Amazon Web Services コンソールのログイン ID emailアドレスなど設定値を渡す

IBM Secutiry Verifyがサポートするコネクタの確認

サポートするアプリケーション・コネクタに、Amazon Web Services エントリーからアクセスされる Amazon Web アプリケーションがあります。
対象のAmazon Web アプリケーションとしては、Amazon Connectはありませんでしたが、こちらのコネクタを利用して構成します。

isv-connect-1.png

サポートされるアプリケーションとコネクター
https://www.ibm.com/support/knowledgecenter/ja/SSCT62/com.ibm.iamservice.doc/references/r_supported_apps_and_connectors.html

構成手順

Amazon Connect #1 インスタンス作成

AWSのコンソールで、サービス-カスタマーエンゲージメント-Amazon Connectを選択します。
isv-connect-2.png

今すぐ始めるを選択し、インスタンスの設定を行います。
isv-connect-3.png

「SAMLベースの認証」を選択し、アクセスURLの先頭部分にインスタンス名を入力します。
isv-connect-4.png
管理者ユーザーに姓名、mailアドレスを設定する。
isv-connect-5.png
デフォルトのまま、「次のステップ」へ
isv-connect-6.png
設定を確認して、「インスタンスの作成」をクリック。
isv-connect-7.png
isv-connect-9.png
数分待って成功と表示されるのを確認します。「今すぐ始める」をクリックします。
isv-connect-10.png
Amazon Connectのインスタンス画面が表示されたら、インスタンス名をクリックします。
isv-connect-11.png
緊急アクセスのリンクから、Amazon Connectの管理画面が表示できます。
isv-connect-12.png

Amazon Connect #2 IDプロバイダーの登録

次に、IDプロバイダーを登録します。AWSのコンソールで、サービス-セキュリティ、ID、および、コンプライアンス-IAMを選択します。
isv-connect-13.png
ID プロバイダーを選択し、「プロバイダの作成」をクリックします。
isv-connect-15.png
プロバイダーのタイプは「SAML」を選択し、任意のプロバイダ名を入力します。
メタデータドキュメントは、IBM Security VerifyのURLから事前にダウンロードしておいたものを指定します。
https://<自身のテナント名>/appaccess/v1.0/templates/federations/metadata
isv-connect-16.png
設定内容を確認して、「作成」をクリックします。
isv-connect-17.png
IDプロバイダーの作成は完了です。
isv-connect-18.png

Amazon Connect #3 ロール・ポリシーの登録

次にロールとポリシーを登録し、Federationの対象インスタンスを指定します。
ロールを選択し、「ロールの作成」をクリックします。
isv-connect-19.png
信頼されたエンティティの種類は、「SAML2.0フェデレーション」を選択します。
SAML プロバイダーは先ほど登録したIDプロバイダーを選択します。
属性や値が自動的に反映されたら、「次のステップ アクセス権限」をクリックします。
isv-connect-21.png
「ポリシーの作成」をクリックします。
isv-connect-22.png

JSON形式を選択して入力します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "connect:GetFederationToken",
            "Resource": "<インスタンス ARN>/user/${aws:userid}"
        }
    ]
}

isv-connect-24.png

次にポリシーを作成します。任意の名前を入力し、「ポリシーの作成」をクリックします。
isv-connect-25.png
作成したポリシーを選択して、「次のステップ:タグ」を選択します。
isv-connect-26.png
次の画面ではデフォルトのまま、「次のステップ:確認」をクリックします。
isv-connect-48.png

ロール名を設定して、「ロールの作成」をクリックします。
isv-connect-27.png

ロールが作成されたことを確認します。
isv-connect-28.png

Amazon Connect #4 ユーザー登録

以下のステップでユーザーを登録します。ログイン名は、IBM Security Verifyのログイン名と同じになるように設定します。
isv-connect-34.png
isv-connect-35.png
isv-connect-36.png
isv-connect-37.png

IBM Security Verify  #1 アプリケーションの追加

IBM Security Verifyの管理画面-アプリケーションで、「アプリケーションの追加」をクリックします。
isv-connect-44.png
Amazon We Service を検索します。
isv-connect-45.png
デフォルトのまま保存します。
isv-connect-46.png

IBM Security Verify  #2 属性追加

SAMLの属性に「https://aws.amazon.com/SAML/Attributes/Role」を設定するため、カスタム属性を登録します。
管理画面の構成-属性タブで、「属性の追加」をクリックします。
isv-connect-49.png
任意の名前を入力します。
isv-connect-29.png
「固定値」を選択します。
isv-connect-30.png
arn:aws:iam::Amazon Web Services アカウント ID:role/Amazon Web Services の役割名,arn:aws:iam::Amazon Web Services アカウント ID:saml-provider/Amazon Web Services のプロバイダー名 となるように値を設定します。
isv-connect-31.png
カスタム属性が保存されたことを確認します。
isv-connect-32.png

IBM Security Verify  #2 属性マッピングの設定

Amazon Web Serviceコネクタの属性マッピングの設定を行い、「保存」します。

属性名
NameID Prefferd_username
https://aws.amazon.com/SAML/Attributes/Role 追加したカスタム属性名
https://aws.amazon.com/SAML/Attributes/RoleSessionName Prefferd_username

isv-connect-50.png

動作確認

ブラウザで以下のURLから、IBM Security Verifyのログイン、Amazon Connect画面の表示されることを確認します。

https://<IBM Security VerifyのURL>/saml/sps/saml20ip/saml20/logininitial?RequestBinding=HTTPPost&PartnerId=urn:amazon:webservices&NameIdFormat=persistent&Target=https://<Amazon ConnectのRegion>.console.aws.amazon.com/connect/federate/<Amazon Connectのインスタンス名>

isv-connect-40.png
isv-connect-42.png

最後に

Amazon Web Serviceのコネクタには、Amazon Connectのリンクがないため、ホームページ上にアプリケーションアイコンが登録できません。
IBM Security Verifyのブックマーク機能やブラウザのブックマークにURLなどで代替ください。

参考リンク

  • AWSのトライアル

AWS の無料トライアルで実際に体験
https://aws.amazon.com/jp/free/start-your-free-trial/

9
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
9
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?