ジェネリックシングル サインオンプロバイダーを追加する

前提条件:
  • シングル・サインオン > プロバイダー > 追加、削除、編集、表示権限
  • 組織のIDプロバイダーアカウントの管理者の役割
  • ユーザーの電子メールアドレスは、組織のIDプロバイダーアカウントとGenesys Cloudで同じです

汎用IDプロバイダー構成により、Genesys Cloudのお客様はSAML 2.0をサポートするほとんどのIDプロバイダーと統合できます。 

メモ: 
  • Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
  • 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、以下を参照してください。 SSOのみで認証するようにGenesys Cloudを設定する.
  • 管理者は、ビジネス継続性を確保するために、追加の証明書を1つ保存するように選択できます。 1つの証明書が無効または期限切れになった場合、バックアップ証明書は統合を保持します。
  • サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。

組織のIDプロバイダーを構成する

Genesys Cloud構成の証明書を取得する

SAML署名検証用のIDプロバイダーのエンコードされた公開証明書を見つけてダウンロードします。

ノート: Genesys Cloud は、PEM および DER でエンコードされた証明書、および Base64 でエンコードされた証明書を受け入れます。

Genesys Cloud設定のメタデータを取得する

組織の ID プロバイダー アカウントで Genesys Cloud を構成するための発行者 (entityID)、シングル サインオン URL、およびシングル ログアウト URL を含む ID プロバイダーのメタデータ ファイルを見つけてダウンロードします。

アサーションコンシューマサービス(ACS)URLを提供します

アサーションコンシューマサービス(ACS)URLの入力を求められたら、AWSデプロイリージョンに基づいて適切なURLを選択します。

AWSリージョン

URL

米国東部(N. ヴァージニア州

https://login.mypurecloud.com/saml

US East 2(オハイオ)

https://login.use2.us-gov-pure.cloud/saml

米国西部(オレゴン)

https ://login.usw2.pure.cloud/saml 

カナダ(Canada Central)

https ://login.usw2.pure.cloud/saml 

南米(サンパウロ)

https://login.sae1.pure.cloud/saml 

EU(フランクフルト)

https://login.mypurecloud.ie/saml

EU (アイルランド)

https://login.mypurecloud.ie/saml 

EU(ロンドン)

https ://login.usw2.pure.cloud/saml

アジア太平洋 (ムンバイ)

https ://login.usw2.pure.cloud/saml

アジア太平洋 (ソウル)

https ://login.usw2.pure.cloud/saml

アジア太平洋 (シドニー)

https://login.mypurecloud.com.au/saml

アジア太平洋 (東京)

https://login.mypurecloud.jp/saml

シングルログアウトURLを指定します

アサーションコンシューマサービス(ACS)URLの入力を求められたら、AWSデプロイリージョンに基づいて適切なURLを選択します。

AWSリージョン

URL

米国東部(N. ヴァージニア州

https://login.mypurecloud.com/saml

US East 2(オハイオ)

https://login.use2.us-gov-pure.cloud/saml/logout

米国西部(オレゴン)

https ://login.usw2.pure.cloud/saml 

カナダ(Canada Central)

https ://login.usw2.pure.cloud/saml 

南米(サンパウロ)

https://login.sae1.pure.cloud/saml/logout 

EU(フランクフルト)

https://login.mypurecloud.ie/saml

EU (アイルランド)

https://login.mypurecloud.ie/saml 

EU(ロンドン)

https ://login.usw2.pure.cloud/saml

アジア太平洋 (ムンバイ)

https ://login.usw2.pure.cloud/saml

アジア太平洋 (ソウル)

https ://login.usw2.pure.cloud/saml

アジア太平洋 (シドニー)

https://login.mypurecloud.com.au/saml

アジア太平洋 (東京)

https://login.mypurecloud.jp/saml

サービスプロバイダーエンティティIDを提供します

サービスプロバイダーエンティティIDの入力を求められたら、値はGenesysCloud組織を識別するために使用する任意の一意の文字列にすることができます。 このフィールドは、発行者またはオーディエンスURIと呼ばれることもあります。

GenesysCloud署名証明書を提供する

署名証明書の入力を求められたら、Genesysクラウドから取得したファイルをアップロードします。

  1. Genesys Cloudで、 管理.
  2. 「統合」の下で、「」をクリックします。 シングル・サインオン。
  3. クリック Okta タブ。
  4. Genesysクラウド署名証明書、 クリック 証明書をダウンロードする
  5. ファイルを保存します。

ユーザー属性とクレームの構成

IDプロバイダーのGenesys Cloudユーザー属性を設定します。 属性では大文字と小文字が区別されます。 

属性名 属性値
組織名 
  • IDプロバイダーが開始したシングル サインオン : 組織の短縮名を使用します。
  • 以下のためのサービス プロバイダーダー-initiated シングル サインオンン: 組織名が選択した組織名と一致していることを確認してください。 単一のIDプロバイダーを使用して複数のGenesys Cloud組織を維持している場合に適用されます。 
email  認証されるGenesys Cloudユーザーの電子メールアドレス。
  • 既存のGenesys Cloudユーザーである必要があります。
  • IDプロバイダーがサブジェクトNameIDとして電子メールアドレスを使用しない場合は、有効な電子メールアドレスが必要です。
サービス名 

有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:

  • ディレクトリ(Genesys Cloud Collaborateクライアントにリダイレクト)
  • directory-admin(Genesys Cloud Admin UIにリダイレクト)
ノート: カスタム クレームを追加するには、ID プロバイダーのドキュメントを参照してください。

Genesysクラウドの設定

  1. Genesys Cloudで、管理.
  2. 「統合」の下でシングル・サインオンをクリックします。
  3. クリック 汎用SSOプロバイダー タブ 。
  4. 組織のIDプロバイダーから収集したメタデータを入力します。

    フィールド    説明
    プロバイダーのロゴ 25 KB以下のSVG画像を挿入します。
    プロバイダー名 IDプロバイダー名を入力します。
    プロバイダーの証明書

    1. クリック ブラウズ.
    2. テキスト ファイルに保存した証明書を選択し、 開ける.
    3. クリック 追加 .
    4. オプションで、バックアップ証明書をロードするには、手順 1 ~ 3 を繰り返します。 

    プロバイダーの発行者URI 入力します IDプロバイダーのメタデータファイルで提供されます。
    ターゲット URL 提供されたリダイレクトURLを入力してください IDプロバイダーのメタデータファイル内。
    シングル ログアウト URI 提供されたリダイレクトURLを入力してください IDプロバイダーのメタデータファイル内。
    シングル ログアウト バインディング IDプロバイダーで選択したものと同じバインディングを選択します。 バインディングが指定されていない場合は、 HTTPリダイレクト。
    証明書利用者 ID Genesys CloudをIDプロバイダーに識別するために使用する文字列を入力します。 
    メモ:   IDプロバイダーがサービスプロバイダーが証明書利用者IDを指定することを期待している場合は、文字列を入力してGenesysCloudとIDプロバイダーの両方を入力します。 他のIDプロバイダーは、メタデータファイルに依存する相手 IDを生成します。
    名前 ID 形式 IDプロバイダがサポートするName Identifier Formatを選択します。 プロバイダがEmail Address をサポートしている場合は、その形式が望ましいです。 Name Identifier Format が不明な場合は、Unspecified を選択してください。 
  5. (任意) 選択 エンドポイント圧縮 Genesys Cloud認証リクエストを圧縮します。 IDプロバイダーがHTTPリダイレクトバインディングの圧縮をサポートしていない場合にのみ、これを選択してオフにする必要があります。
  6.  保存するをクリックします。