Okta をシングル サインオン プロバイダーとして追加

前提条件:
  • シングルサインオン> プロバイダ > 追加、削除、編集、および表示 権限
  • 組織のOktaアカウントにおける管理者の役割
  • ユーザーの電子メールアドレスは、OktaとGenesys Cloudの両方で同じです

Genesys Cloudをアプリケーションとして追加し、組織メンバーがOktaアカウントの認証情報を使用してアクセスできるようにします。

メモ: 
  • Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
  • 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、SSOのみで認証するようにGenesys Cloudを設定するを参照してください。
  •  

  • サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。

  • Genesys Cloud デスクトップ アプリは、ブラウザ拡張機能のインストールをサポートしていません。ブラウザ拡張機能を必要とする Azure 条件付きアクセス ポリシーを構成している場合は、Microsoft Entra ID 拡張機能がインストールされている Genesys Cloud 対応ブラウザを使用する必要があります。この構成では、デスクトップ アプリを使用したシングル サインオンは機能しません。

Oktaを設定する

PureCloud構成用の証明書を入手する

  1. Genesys Cloudで、 管理.
  2. 「統合」の下で、「」をクリックします。 シングル・サインオン。
  3. クリック Okta タブ。
  4. Genesysクラウド署名証明書、 クリック 証明書をダウンロードする
  5. ファイルを保存します。

SAMLアプリケーションを作成します。

  1. Genesys Cloud用のSAMLアプリケーションを作成します。 の指示に従ってください Okta開発者向けドキュメントのOktaでのSAMLアプリケーションの設定

  2. の中に 一般>シングルサインオンURL フィールドに、AWSリージョンに基づいたGenesysCloud組織のURLを入力します。

    AWSリージョン URL
    米国東部(N. ヴァージニア州 https://login.mypurecloud.com/saml
    US East 2(オハイオ) https://login.use2.us-gov-pure.cloud/saml
    米国西部(オレゴン) https://login.usw2.pure.cloud/saml 
    カナダ(Canada Central) https://login.cac1.pure.cloud/saml 
    南米(サンパウロ) https://login.sae1.pure.cloud/saml 
    EMEA (フランクフルト) https://login.mypurecloud.de/saml
    EMEA (アイルランド) https://login.mypurecloud.ie/saml 
    EMEA (ロンドン) https://login.euw2.pure.cloud/saml
    EMEA(アラブ首長国連邦) https://login.mec1.pure.cloud/saml
    EMEA(チューリッヒ) https://login.euc2.pure.cloud/saml
    アジア太平洋 (ムンバイ) https://login.aps1.pure.cloud/saml
    アジア太平洋 (ソウル) https://login.apne2.pure.cloud/saml 
    アジア太平洋 (シドニー) https://login.mypurecloud.com.au/saml
    アジア太平洋 (東京) https://login.mypurecloud.jp/saml
    アジア・パシフィック(大阪) https://login.apne3.pure.cloud/saml

  3. 全般的 >> オーディエンスURI、値は、GenesysCloud組織を識別するために使用する任意の一意の文字列にすることができます。

  4. にとって 全般的 >> 名前ID形式、 選ぶ 電子メールアドレス

  5. クリック 詳細設定を表示する。

  6. のために 全般的 >> 署名証明書 フィールドをクリックします ブラウズ。
  7. 「Okta構成の証明書を取得する」のステップ5で保存した証明書ファイルを選択します。
  8. クリック 証明書のアップロード

  9. クリック 全般的 >> シングルログアウトを有効にする チェックボックス。

  10. 全般的 >> シングルログアウトURL、AWSリージョンに基づいてGenesysCloud組織のURLを入力します。

    AWSリージョン URL
    米国東部(N. ヴァージニア州 https://login.mypurecloud.com/saml/logout
    US East 2(オハイオ) https://login.use2.us-gov-pure.cloud/saml/logout
    米国西部(オレゴン) https://login.usw2.pure.cloud/saml/logout 
    カナダ(Canada Central) https://login.cac1.pure.cloud/saml/logout 
    南米(サンパウロ) https://login.sae1.pure.cloud/saml/logout 
    EMEA (フランクフルト) https://login.mypurecloud.de/saml/logout
    EMEA (アイルランド) https://login.mypurecloud.ie/saml/logout 
    EMEA (ロンドン) https://login.euw2.pure.cloud/saml/logout
    EMEA (UAE)
    		https://login.mec1.pure.cloud/saml/logout
    EMEA(チューリッヒ)
    		https://login.euc2.pure.cloud/saml/logout
    アジア太平洋 (ムンバイ) https://login.aps1.pure.cloud/saml/logout
    アジア太平洋 (ソウル) https://login.apne2.pure.cloud/saml/logout 
    アジア太平洋 (シドニー) https://login.mypurecloud.com.au/saml/logout
    アジア太平洋 (東京) https://login.mypurecloud.jp/saml/logout
    アジア・パシフィック(大阪) https://login.apne3.pure.cloud/saml/logout
  11. 他のフィールドにはデフォルト値を使用してください。
  12. Genesys Cloudユーザーがログイン時に入力する必要がないように、組織を指定します。 で新しいエントリを作成します 属性ステートメント(オプション) 以下の値を使用します。 
    フィールド 説明
    名前 タイプ 組織名
    名前の形式 に設定 指定なし
    Genesys Cloud組織の短い名前を入力します。 組織の短い名前を知らない場合は、管理 > アカウント設定 > 組織設定 見ていきます
 メモ:   Oktaのアプリ設定において、他のオプションを変更する必要はありません。 アプリケーションログインページやアプリケーションアクセスエラーページなどのオプションについては、デフォルトのオプションが優先されます。

SAML属性

次の追加のSAML属性がアサーションに存在する場合、GenesysCloudは属性に基づいて動作します。 属性では大文字と小文字が区別されます。 

属性名 属性値
Eメール 認証されるGenesys Cloudユーザーの電子メールアドレス。
  • 既存のGenesys Cloudユーザーである必要があります。
  • IDプロバイダーがサブジェクトNameIDとして電子メールアドレスを使用しない場合は、有効な電子メールアドレスが必要です。
サービス名 

有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:

  • directory (Genesys Cloud Collaborateクライアントにリダイレクト)
  • directory-admin(Genesys Cloud Admin UIにリダイレクト)

Genesys Cloud設定のメタデータを取得する

  1. サインオン>設定で、をクリックします。 セットアップ手順を見る 設定情報を表示します。
  2. Genesys Cloud設定に必要な次のIDプロバイダメタデータに注意してください。 
    メタデータ 説明
    アイデンティティプロバイダのシングルサインオンURL のために使用します ターゲット URI Genesys Cloudでの設定。
    アイデンティティプロバイダのシングルサインオンURL への使用 ターゲットURI Genesys Cloudで設定を行います。
    アイデンティティプロバイダ発行者 オクタに使う 発行者 URI Genesys Cloudでの設定。
    X.509証明書 オクタに使う 証明書 Genesys Cloudでの設定。

Genesys Cloud構成の証明書を取得する

  1. アイデンティティプロバイダのメタデータページで、をクリックします。 証明書をダウンロードする
  2. ファイルをとして保存します .crt また .pem ファイル。

Genesysクラウドの設定

  1. Genesys Cloudで、管理をクリックします。
  2. 「統合」の下で、「」をクリックします。 シングル・サインオン。
  3. クリック Okta タブ。
  4. Oktaから収集したアイデンティティプロバイダメタデータを提供します。
    フィールド 説明
    証明書

    SAML 署名検証用に X.509 証明書をアップロードするには、次のいずれかを実行します。

    1. 証明書をアップロードするには、Select Certificates to upload をクリックします。
    2. X.509証明書を選択します。
    3. 開くをクリックします。
    4. オプションで、バックアップ証明書をロードするには、手順1〜3を繰り返します。

    もしくは次のようにできます:

    1. 証明書ファイルをドラッグ&ドロップします。
    2. オプションで、バックアップ証明書を読み込むには、最初のステップを繰り返します。

    アップロードされた証明書は、有効期限付きで表示されます。 証明書を削除するには、X をクリックします。

     メモ:  

    発行者URI ID プロバイダの発行者を入力します。
    ターゲット URL を入力 アイデンティティプロバイダのシングルサインオンURL。 
    シングル ログアウト URI を入力 アイデンティティプロバイダのシングルサインオンURL。
    シングル ログアウト バインディング 選ぶ HTTPリダイレクト。
    オーディエンス (エンティティ ID)  「SAMLアプリケーションの作成」のステップ3で使用した値を入力します。
  5. 保存するをクリックします。