ジェネリックシングル サインオンプロバイダーを追加する
- シングル・サインオン > プロバイダー > 追加、削除、編集、表示権限
- 組織のIDプロバイダーアカウントの管理者の役割
- ユーザーの電子メールアドレスは、組織のIDプロバイダーアカウントとGenesys Cloudで同じです
汎用IDプロバイダー構成により、Genesys Cloudのお客様はSAML 2.0をサポートするほとんどのIDプロバイダーと統合できます。
- Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
- 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、SSOのみで認証するようにGenesys Cloudを設定するを参照してください。
サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。
- Genesys Cloud デスクトップ アプリは、ブラウザ拡張機能のインストールをサポートしていません。ブラウザ拡張機能を必要とする Azure 条件付きアクセス ポリシーを構成している場合は、Microsoft Entra ID 拡張機能がインストールされている Genesys Cloud 対応ブラウザを使用する必要があります。この構成では、デスクトップ アプリを使用したシングル サインオンは機能しません。
組織のIDプロバイダーを構成する
Genesys Cloud構成の証明書を取得する
SAML署名検証用のIDプロバイダーのエンコードされた公開証明書を見つけてダウンロードします。
Genesys Cloud設定のメタデータを取得する
組織の ID プロバイダー アカウントで Genesys Cloud を構成するための発行者 (entityID)、シングル サインオン URL、およびシングル ログアウト URL を含む ID プロバイダーのメタデータ ファイルを見つけてダウンロードします。
アサーションコンシューマサービス(ACS)URLを提供します
アサーションコンシューマサービス(ACS)URLの入力を求められたら、AWSデプロイリージョンに基づいて適切なURLを選択します。
AWSリージョン |
URL |
米国東部(N. ヴァージニア州 |
|
US East 2(オハイオ) |
|
米国西部(オレゴン) |
|
カナダ(Canada Central) |
|
南米(サンパウロ) |
|
EU(フランクフルト) |
|
EU (アイルランド) |
|
EU(ロンドン) |
|
アジア太平洋 (ムンバイ) |
|
アジア太平洋 (ソウル) |
|
アジア太平洋 (シドニー) |
|
アジア太平洋 (東京) |
|
シングルログアウトURLを指定します
アサーションコンシューマサービス(ACS)URLの入力を求められたら、AWSデプロイリージョンに基づいて適切なURLを選択します。
AWSリージョン |
URL |
米国東部(N. ヴァージニア州 |
|
US East 2(オハイオ) |
|
米国西部(オレゴン) |
|
カナダ(Canada Central) |
|
南米(サンパウロ) |
|
EU(フランクフルト) |
|
EU (アイルランド) |
|
EU(ロンドン) |
|
アジア太平洋 (ムンバイ) |
|
アジア太平洋 (ソウル) |
|
アジア太平洋 (シドニー) |
|
アジア太平洋 (東京) |
|
サービスプロバイダーエンティティIDを提供します
サービスプロバイダーエンティティIDの入力を求められたら、値はGenesysCloud組織を識別するために使用する任意の一意の文字列にすることができます。 このフィールドは、発行者またはオーディエンスURIと呼ばれることもあります。
GenesysCloud署名証明書を提供する
署名証明書の入力を求められたら、Genesysクラウドから取得したファイルをアップロードします。
- Genesys Cloudで、 管理.
- 「統合」の下で、「」をクリックします。 シングル・サインオン。
- クリック 汎用SSOプロバイダー タブ 。
- 下 Genesysクラウド署名証明書、 クリック 証明書をダウンロードする。
- ファイルを保存します。
ユーザー属性とクレームの構成
IDプロバイダーのGenesys Cloudユーザー属性を設定します。 属性では大文字と小文字が区別されます。
属性名 | 属性値 |
---|---|
組織名 |
|
Eメール | 認証されるGenesys Cloudユーザーの電子メールアドレス。
|
サービス名 |
有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:
|
Genesysクラウドの設定
- Genesys Cloudで、管理をクリックします。
- 「統合」の下でシングル・サインオンをクリックします。
- クリック 汎用SSOプロバイダー タブ 。
-
組織のIDプロバイダーから収集したメタデータを入力します。
フィールド 説明 プロバイダーのロゴ 25 KB以下のSVG画像を挿入します。 プロバイダー名 IDプロバイダー名を入力します。 プロバイダーの証明書 SAML 署名検証用に X.509 証明書をアップロードするには、次のいずれかを実行します。
- 証明書をアップロードするには、Select Certificates to upload をクリックします。
- X.509証明書を選択します。
- 開くをクリックします。
- オプションで、バックアップ証明書をロードするには、手順1〜3を繰り返します。
もしくは次のようにできます:
- 証明書ファイルをドラッグ&ドロップします。
- オプションで、バックアップ証明書を読み込むには、最初のステップを繰り返します。
アップロードされた証明書は、有効期限付きで表示されます。 証明書を削除するには、X をクリックします。
メモ:プロバイダーの発行者URI 入力します IDプロバイダーのメタデータファイルで提供されます。 ターゲット URL 提供されたリダイレクトURLを入力してください IDプロバイダーのメタデータファイル内。 シングル ログアウト URI 提供されたリダイレクトURLを入力してください IDプロバイダーのメタデータファイル内。 シングル ログアウト バインディング IDプロバイダーで選択したものと同じバインディングを選択します。 バインディングが指定されていない場合は、 HTTPリダイレクト。 証明書利用者 ID Genesys CloudをIDプロバイダーに識別するために使用する文字列を入力します。
メモ: IDプロバイダーがサービスプロバイダーが証明書利用者IDを指定することを期待している場合は、文字列を入力してGenesysCloudとIDプロバイダーの両方を入力します。 他のIDプロバイダーは、メタデータファイルに依存する相手 IDを生成します。名前 ID 形式 IDプロバイダがサポートするName Identifier Formatを選択します。 プロバイダがEmail Address をサポートしている場合は、その形式が望ましいです。 Name Identifier Format が不明な場合は、Unspecified を選択してください。 - (オプション)選択エンドポイント圧縮Genesys Cloud 認証リクエストを圧縮します。アイデンティティ プロバイダーが HTTP リダイレクト バインディングの圧縮をサポートしていない場合にのみ、このフィールドを選択およびクリアしてください。
- 保存するをクリックします。