ジェネリックシングル サインオンプロバイダーを追加する

前提条件:
  • シングル・サインオン > プロバイダー > 追加、削除、編集、表示権限
  • 組織のIDプロバイダーアカウントの管理者の役割
  • ユーザーの電子メールアドレスは、組織のIDプロバイダーアカウントとGenesys Cloudで同じです

汎用IDプロバイダー構成により、Genesys Cloudのお客様はSAML 2.0をサポートするほとんどのIDプロバイダーと統合できます。 

メモ: 
  • Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
  • 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、SSOのみで認証するようにGenesys Cloudを設定するを参照してください。
  •  
  • サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。

  • Genesys Cloud デスクトップ アプリは、ブラウザ拡張機能のインストールをサポートしていません。ブラウザ拡張機能を必要とする Azure 条件付きアクセス ポリシーを構成している場合は、Microsoft Entra ID 拡張機能がインストールされている Genesys Cloud 対応ブラウザを使用する必要があります。この構成では、デスクトップ アプリを使用したシングル サインオンは機能しません。

組織のIDプロバイダーを構成する

Genesys Cloud構成の証明書を取得する

SAML署名検証用のIDプロバイダーのエンコードされた公開証明書を見つけてダウンロードします。

ノート: Genesys Cloud は、PEM および DER でエンコードされた証明書、および Base64 でエンコードされた証明書を受け入れます。

Genesys Cloud設定のメタデータを取得する

組織の ID プロバイダー アカウントで Genesys Cloud を構成するための発行者 (entityID)、シングル サインオン URL、およびシングル ログアウト URL を含む ID プロバイダーのメタデータ ファイルを見つけてダウンロードします。

アサーションコンシューマサービス(ACS)URLを提供します

アサーションコンシューマサービス(ACS)URLの入力を求められたら、AWSデプロイリージョンに基づいて適切なURLを選択します。

AWSリージョン

URL

米国東部(N. ヴァージニア州

https://login.mypurecloud.com/saml

US East 2(オハイオ)

https://login.use2.us-gov-pure.cloud/saml

米国西部(オレゴン)

https ://login.usw2.pure.cloud/saml 

カナダ(Canada Central)

https ://login.usw2.pure.cloud/saml 

南米(サンパウロ)

https://login.sae1.pure.cloud/saml 

EU(フランクフルト)

https://login.mypurecloud.ie/saml

EU (アイルランド)

https://login.mypurecloud.ie/saml 

EU(ロンドン)

https ://login.usw2.pure.cloud/saml

アジア太平洋 (ムンバイ)

https ://login.usw2.pure.cloud/saml

アジア太平洋 (ソウル)

https ://login.usw2.pure.cloud/saml

アジア太平洋 (シドニー)

https://login.mypurecloud.com.au/saml

アジア太平洋 (東京)

https://login.mypurecloud.jp/saml

シングルログアウトURLを指定します

アサーションコンシューマサービス(ACS)URLの入力を求められたら、AWSデプロイリージョンに基づいて適切なURLを選択します。

AWSリージョン

URL

米国東部(N. ヴァージニア州

https://login.mypurecloud.com/saml

US East 2(オハイオ)

https://login.use2.us-gov-pure.cloud/saml/logout

米国西部(オレゴン)

https ://login.usw2.pure.cloud/saml 

カナダ(Canada Central)

https ://login.usw2.pure.cloud/saml 

南米(サンパウロ)

https://login.sae1.pure.cloud/saml/logout 

EU(フランクフルト)

https://login.mypurecloud.ie/saml

EU (アイルランド)

https://login.mypurecloud.ie/saml 

EU(ロンドン)

https ://login.usw2.pure.cloud/saml

アジア太平洋 (ムンバイ)

https ://login.usw2.pure.cloud/saml

アジア太平洋 (ソウル)

https ://login.usw2.pure.cloud/saml

アジア太平洋 (シドニー)

https://login.mypurecloud.com.au/saml

アジア太平洋 (東京)

https://login.mypurecloud.jp/saml

サービスプロバイダーエンティティIDを提供します

サービスプロバイダーエンティティIDの入力を求められたら、値はGenesysCloud組織を識別するために使用する任意の一意の文字列にすることができます。 このフィールドは、発行者またはオーディエンスURIと呼ばれることもあります。

GenesysCloud署名証明書を提供する

署名証明書の入力を求められたら、Genesysクラウドから取得したファイルをアップロードします。

  1. Genesys Cloudで、 管理.
  2. 「統合」の下で、「」をクリックします。 シングル・サインオン。
  3. クリック 汎用SSOプロバイダー タブ 。
  4. Genesysクラウド署名証明書、 クリック 証明書をダウンロードする
  5. ファイルを保存します。

ユーザー属性とクレームの構成

IDプロバイダーのGenesys Cloudユーザー属性を設定します。 属性では大文字と小文字が区別されます。 

属性名 属性値
組織名 
  • IDプロバイダーが開始したシングル サインオン : 組織の短縮名を使用します。
  • サービス プロバイダー開始の シングル サインオン: 組織名が選択した組織名と一致していることを確認してください。 単一のIDプロバイダーを使用して複数のGenesys Cloud組織を維持している場合に適用されます。 
Eメール 認証されるGenesys Cloudユーザーの電子メールアドレス。
  • 既存のGenesys Cloudユーザーである必要があります。
  • IDプロバイダーがサブジェクトNameIDとして電子メールアドレスを使用しない場合は、有効な電子メールアドレスが必要です。
サービス名 

有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:

  • directory (Genesys Cloud Collaborateクライアントにリダイレクト)
  • directory-admin(Genesys Cloud Admin UIにリダイレクト)
ノート: カスタム クレームを追加するには、ID プロバイダーのドキュメントを参照してください。

Genesysクラウドの設定

  1. Genesys Cloudで、管理をクリックします。
  2. 「統合」の下でシングル・サインオンをクリックします。
  3. クリック 汎用SSOプロバイダー タブ 。
  4. 組織のIDプロバイダーから収集したメタデータを入力します。

    フィールド 説明
    プロバイダーのロゴ 25 KB以下のSVG画像を挿入します。
    プロバイダー名 IDプロバイダー名を入力します。
    プロバイダーの証明書

    SAML 署名検証用に X.509 証明書をアップロードするには、次のいずれかを実行します。

    1. 証明書をアップロードするには、Select Certificates to upload をクリックします。
    2. X.509証明書を選択します。
    3. 開くをクリックします。
    4. オプションで、バックアップ証明書をロードするには、手順1〜3を繰り返します。

    もしくは次のようにできます:

    1. 証明書ファイルをドラッグ&ドロップします。
    2. オプションで、バックアップ証明書を読み込むには、最初のステップを繰り返します。

    アップロードされた証明書は、有効期限付きで表示されます。 証明書を削除するには、X をクリックします。

     メモ:  

    プロバイダーの発行者URI 入力します IDプロバイダーのメタデータファイルで提供されます。
    ターゲット URL 提供されたリダイレクトURLを入力してください IDプロバイダーのメタデータファイル内。
    シングル ログアウト URI 提供されたリダイレクトURLを入力してください IDプロバイダーのメタデータファイル内。
    シングル ログアウト バインディング IDプロバイダーで選択したものと同じバインディングを選択します。 バインディングが指定されていない場合は、 HTTPリダイレクト。
    証明書利用者 ID Genesys CloudをIDプロバイダーに識別するために使用する文字列を入力します。 
    メモ:   IDプロバイダーがサービスプロバイダーが証明書利用者IDを指定することを期待している場合は、文字列を入力してGenesysCloudとIDプロバイダーの両方を入力します。 他のIDプロバイダーは、メタデータファイルに依存する相手 IDを生成します。
    名前 ID 形式 IDプロバイダがサポートするName Identifier Formatを選択します。 プロバイダがEmail Address をサポートしている場合は、その形式が望ましいです。 Name Identifier Format が不明な場合は、Unspecified を選択してください。 
  5. (オプション)選択エンドポイント圧縮Genesys Cloud 認証リクエストを圧縮します。アイデンティティ プロバイダーが HTTP リダイレクト バインディングの圧縮をサポートしていない場合にのみ、このフィールドを選択およびクリアしてください。
  6. 保存するをクリックします。