前提条件
  • シングル・サインオン > プロバイダー > 追加、削除、編集、表示権限
  • 組織のOneLoginアカウントにおける管理者の役割
  • OneLogin デスクトップ シングル サインオン (SSO) が利用できない
  • OneLoginとGenesys Cloudの両方でユーザーの電子メールアドレスが同じです

Genesys Cloudをアプリケーションとして追加し、組織のメンバーがOneLoginアカウントの認証情報を使用してアクセスできるようにします。

メモ: 
  • Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
  • 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、以下を参照してください。 SSOのみで認証するようにGenesys Cloudを設定する.
  •  
  • サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。

  • Genesys Cloudのデスクトップアプリは、ブラウザの拡張機能のインストールをサポートしていません。 ブラウザ拡張を必要とするAzure条件付きアクセスポリシーを設定した場合、Azure AD拡張がインストールされたGenesys Cloud対応ブラウザを使用する必要があります。 この構成では、デスクトップアプリを使用したシングルサインオンは機能しません。

OneLoginを設定する

SAMLアプリケーションを作成します。

  1. というOneLoginアプリを追加します。 SAMLテストコネクタ(ldP)。
  2. アプリケーション ページの設定タブをクリック。  
  3. 次のフィールドに入力し、残りのフィールドは空白のままにします。

    フィールド 説明
    オーディエンス (エンティティ ID)

    ID プロバイダーに対して組織を識別するために使用される値、つまり「genesys.cloud.my-org」を入力します。

    ACS(コンシューマー)URLバリデーター

    AWS リージョンの Genesys Cloud 組織の URL を入力します。

    米国東部(N. バージニア): ^https:\/\/login\.mypurecloud\.com\/saml
    US East 2(オハイオ): ^ https:\ / \ / login \ .use2.us-gov-pure \ .cloud \ / saml
    米国西部(オレゴン): https ://login.usw2.pure.cloud/saml
    カナダ(カナダ中部): https ://login.usw2.pure.cloud/saml
    南米(サンパウロ): ^https:\/login.sae1.pure.cloud/saml
    EU(フランクフルト): ^https:\/\/login\.mypurecloud\.com\/saml
    EU(アイルランド): ^https:\/\/login\.mypurecloud\.com\/saml
    EU(ロンドン): https ://login.usw2.pure.cloud/saml
    アジア太平洋(ムンバイ): https ://login.usw2.pure.cloud/saml
    アジアパシフィック(ソウル): https ://login.usw2.pure.cloud/saml
    アジア太平洋(シドニー): ^https:\/\/login\.mypurecloud\.com\/saml
    アジア太平洋地域(東京): ^https:\/\/login\.mypurecloud\.com\/saml

    ACS(消費者)URL

    AWSリージョンのGenesysCloud組織のURLを入力します。
    米国東部(N. バージニア): https://login.mypurecloud.com/saml
    US East 2(オハイオ): https://login.use2.us-gov-pure.cloud/saml
    米国西部(オレゴン): https ://login.usw2.pure.cloud/saml
    カナダ(カナダ中部): https ://login.usw2.pure.cloud/saml
    南米(サンパウロ)。 https://login.sae1.pure.cloud/saml
    EU(フランクフルト): https://login.mypurecloud.ie/saml
    EU(アイルランド): https://login.mypurecloud.ie/saml
    EU(ロンドン): https://login.euw2.pure.cloud/saml
    アジア太平洋(ムンバイ): https://login.aps1.pure.cloud/saml
    アジア太平洋(ソウル): https ://login.usw2.pure.cloud/saml
    アジア太平洋(シドニー): 
    https://login.mypurecloud.com.au/saml
    アジア太平洋地域(東京): https://login.mypurecloud.jp/saml

    シングル ログアウト URI

    AWS リージョンの Genesys Cloud 組織の URL を入力します。

    米国東部(N. バージニア): https://login.mypurecloud.com/saml
    US East 2(オハイオ): https://login.use2.us-gov-pure.cloud/saml/logout
    米国西部(オレゴン):
    https ://login.usw2.pure.cloud/saml
    カナダ(カナダ中部): https ://login.usw2.pure.cloud/saml
    南米(サンパウロ)。 https://login.sae1.pure.cloud/saml/logout
    EU(フランクフルト): https://login.mypurecloud.ie/saml
    EU(アイルランド): https://login.mypurecloud.ie/saml EU(ロンドン):
    https://login.euw2.pure.cloud/saml アジア太平洋(ムンバイ):
    https://login.aps1.pure.cloud/saml アジア太平洋(ソウル):
    https ://login.usw2.pure.cloud/saml
    アジア太平洋(シドニー): 
    https://login.mypurecloud.com.au/saml
    アジア太平洋地域(東京): https://login.mypurecloud.jp/saml

    SLOリクエストに署名する

    ボックスをチェックしてください…

    SLO応答に署名する

    ボックスをチェックしてください…

  4. パラメーター タブをクリックします。
  5. パラメータを追加をクリックします。
  6. 以下のフィールドに入力してください。 
    フィールド 説明
    名前 タイプ 組織名
    フラグ チェック SAMLアサーションに含める
  7. 保存するをクリックします。
  8. 新しく作成した 組織名 パラメータ。
  9. 「値」フィールドに、
    1. リストから、 マクロ。
    2. Genesys Cloud 組織の短い名前を入力します。 組織の略称がわからない場合は、 管理者 > アカウント設定 > 組織設定 ジェネシス クラウドで。 
  10. 保存するをクリックします。

SAML属性

次の追加の SAML 属性がアサーションに存在する場合、Genesys Cloud は属性に作用します。 属性は大文字と小文字が区別されます。 

属性名 属性値
email  Genesys Cloud ユーザーの電子メール アドレスを認証する必要があります。
  • 既存のGenesys Cloudユーザーである必要があります。
  • ID プロバイダーがサブジェクト NameID として電子メール アドレスを使用しない場合は、有効な電子メール アドレスが必要です。
サービス名 

有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:

  • ディレクトリ(Genesys Cloud Collaborateクライアントにリダイレクト)
  • directory-admin(Genesys Cloud Admin UIにリダイレクト)

Genesys Cloud構成の証明書を取得する

  1. SSO タブをクリックします。
  2. 証明書で、をクリックします。 詳細を見る
  3. X.509 証明書の下で、「X.509 PEM」を選択し、 ダウンロード.
  4. 証明書をテキストファイルに保存します。

Genesys Cloud構成のメタデータを取得する

 メモ:   Genesys Cloudは、 http-リダイレクトSAMLURL のみ。 [OneLogin SSO]タブの[SAML 2.0エンドポイント(HTTP)]フィールドに、このURLがデフォルトで表示されなくなりました。 (代わりにhttp-postのURLが表示されます) ただし、http-redirect URLはSAMLメタデータファイルでまだ利用可能です。
  1. クリック SSO タブ。
  2. Genesys Cloud設定に必要な以下のメタデータをテキストファイルにコピーします。 
    フィールド 説明
    発行者URL からURLをコピーします。 発行者URL フィールド。
    SAML 2.0 エンドポイント (HTTP) 
    1. [その他の操作]の下のをクリックします。 SAMLメタデータ
    2. SAMLメタデータファイルをダウンロードして開きます。
    3. 「urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect」に等しいバインディングを持つ SingleSignOnService タグを見つけます。 例えば:  <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-organization/onelogin.com/trust/saml2/http-redirect/sso/123456>
    4. たとえば、「Location =」に続く URL をコピーします。
      https://your-organization/onelogin.com/trust/saml2/http-redirect/sso/123456
    SLOエンドポイント(HTTP) SLOエンドポイント(HTTP)フィールドからURLをコピーします。

Genesysクラウドの設定

  1. Genesys Cloudで、管理.
  2. 「統合」の下でシングル・サインオンをクリックします。
  3. OneLogin タブをクリックします。
  4. 前の手順で収集した情報を入力してください。
    フィールド 説明
    証明書

    SAML 署名検証用に X.509 証明書をアップロードするには、次のいずれかを実行します。

    1. 証明書をアップロードするには、Select Certificates to upload をクリックします。
    2. X.509証明書を選択します。
    3. クリック 開いた.
    4. オプションで、バックアップ証明書をロードするには、手順1〜3を繰り返します。

    あるいはできる:

    1. 証明書ファイルをドラッグ&ドロップします。
    2. オプションで、バックアップ証明書を読み込むには、最初のステップを繰り返します。

    アップロードされた証明書は、有効期限付きで表示されます。 証明書を削除するには、X をクリックします。

     メモ:  

    OneLogin 発行元 URI OneLoginの発行者URLフィールドからURLを入力します。
    ターゲット URL

    SAML 2.0エンドポイント(HTTP)フィールドからURLを入力します。 

    シングル ログアウト URI

    OneLogin の SAML 2.0 エンドポイント (HTTP) フィールドから URL を入力します。

    シングル ログアウト バインディング [HTTPリダイレクト]を選択します。
    オーディエンス (エンティティ ID)  OneLogin Audience(EntityID)値を入力します。 この値がGenesysCloudとOneLoginの両方で同じであることを確認してください。 
  5. 保存するをクリックします。