Microsoft ADFS をシングル サインオン プロバイダーとして追加する

前提条件:
  • Single Sign-on > Provider > Add, Delete, Edit, View 権限
  • 組織のADFSアカウントにおける管理者の役割
  • ユーザーの電子メールアドレスは、ADFSとGenesys Cloudの両方で同じです
  • SAML 2.0をサポートする任意のMicrosoft ADFSバージョン。 バージョンにより、構成に若干の違いがあります。

Genesys Cloudをアプリケーションとして追加し、組織メンバーがMicrosoft ADFSアカウントの認証情報を使用してアクセスできるようにします。

メモ: 
  • Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
  • 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、SSOのみで認証するようにGenesys Cloudを設定するを参照してください。
  •  
  • サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。

  • Genesys Cloud デスクトップ アプリは、ブラウザ拡張機能のインストールをサポートしていません。ブラウザ拡張機能を必要とする Azure 条件付きアクセス ポリシーを構成している場合は、Microsoft Entra ID 拡張機能がインストールされている Genesys Cloud 対応ブラウザを使用する必要があります。この構成では、デスクトップ アプリを使用したシングル サインオンは機能しません。

Microsoft ADFSを設定する

PureCloud構成用の証明書を入手する

  1. Genesys Cloudで、 管理.
  2. 統合で、シングル・サインオンをクリックします。
  3. クリック ADFS / Azure AD(プレミアム) タブ。
  4. Genesysクラウド署名証明書、 クリック 証明書をダウンロードする
  5. ファイルを保存します。

証明書利用者信頼を追加する

  1. [管理ツール] > [AD FS] に移動します。  
  2. コンソールツリーで、に移動します。 AD FS>信頼関係>証明書利用者の信頼
  3. ウィザードを開くには、「Add Relying Party Trust」 をクリックします。
  4. データソースの選択」ページで、返信先に関するデータを手動で入力する をクリックします。
  5. 表示名の指定]ページで、返信先(Genesys Cloudのこと)の名前を入力します。
  6. Choose Profile ページで、AD FS profile をクリックして SAML を選択します。
  7. 証明書の設定」ページをスキップします。
  8. URLの設定]ページで、次の手順を実行します。
    1. クリック SAML 2.0 WebSSOプロトコルのサポートを有効にする
    2. チェックボックスの下のフィールドに、AWSリージョンに基づくGenesys Cloud組織の以下のURLを入力します。

      AWSリージョン

      URL

      米国東部(N. ヴァージニア州

      https://login.mypurecloud.com/saml

      US East 2(オハイオ) https://login.use2.us-gov-pure.cloud/saml
      米国西部(オレゴン)

      https://login.usw2.pure.cloud/saml 

      カナダ(Canada Central)

      https://login.cac1.pure.cloud/saml

      南米(サンパウロ)

      https://login.sae1.pure.cloud/saml

      EMEA (フランクフルト)

      https://login.mypurecloud.de/saml

      EMEA (アイルランド)

      https://login.mypurecloud.ie/saml 

      EMEA (ロンドン)

      https://login.euw2.pure.cloud/saml

      EMEA(アラブ首長国連邦)

      https://login.mec1.pure.cloud/saml

      EMEA(チューリッヒ)

      https://login.euc2.pure.cloud/saml

      アジア太平洋 (ムンバイ)

      https://login.aps1.pure.cloud/saml

      アジア太平洋 (ソウル)

      https://login.apne2.pure.cloud/saml 

      アジア太平洋 (シドニー)

      https://login.mypurecloud.com.au/saml

      アジア太平洋 (東京)

      https://login.mypurecloud.jp/saml

      アジア・パシフィック(大阪) https://login.apne3.pure.cloud/saml
  9. Configure Identifiers]ページで、[Relying party trust identifier]の値を入力します。 値は、信頼する相手 または 参加者信頼を識別するために使用する一意の文字列です。 フェデレーションサービスへのリクエストで依拠当事者を特定すると、AD FSはプレフィックスマッチングロジックを用いて、AD FS設定データベース内の依拠当事者信頼を決定する。
  10. 今すぐ多要素認証を設定する]ページで、MFAを設定するかどうかを選択します。
    注意: 本書では、MFA を設定する手順については説明しません。
  11. 他のすべての設定をデフォルトのままにして閉じるをクリックします 。
  12. [証明書利用者信頼]ページで、前の手順で作成した信頼を右クリックして請求ルールを編集を選択します。。
  13. の中に エンドポイント タブをクリックし、クリックします SAMLを追加する
  14. にとって エンドポイントタイプ、 選ぶ SAMLログアウト
    AWSリージョン URL
    米国東部(N. ヴァージニア州 https://login.mypurecloud.com/saml/logout
    US East 2(オハイオ) https://login.use2.us-gov-pure.cloud/saml/logout
    米国西部(オレゴン) https://login.usw2.pure.cloud/saml/logout 
    カナダ(Canada Central) https://login.cac1.pure.cloud/saml/logout 
    南米(サンパウロ) https://login.sae1.pure.cloud/saml/logout 
    EMEA (フランクフルト) https://login.mypurecloud.de/saml/logout
    EMEA (アイルランド) https://login.mypurecloud.ie/saml/logout 
    EMEA (ロンドン) https://login.euw2.pure.cloud/saml/logout
    EMEA(アラブ首長国連邦) https://login.mec1.pure.cloud/saml/logout
     EMEA (Zurich) https://login.euc2.pure.cloud/saml/logout
    アジア太平洋 (ムンバイ) https://login.aps1.pure.cloud/saml/logout
    アジア太平洋 (ソウル) https://login.apne2.pure.cloud/saml/logout 
    アジア太平洋 (シドニー) https://login.mypurecloud.com.au/saml/logout
    アジア太平洋 (東京) https://login.mypurecloud.jp/saml/logout
    アジア・パシフィック(大阪) https://login.apne3.pure.cloud/saml/logout
  15.   [OK] をクリックします。
  16. の中に サイン タブをクリックし、クリックします 追加
  17. ADFS設定用の証明書を取得する」の手順5で保存した証明書を選択し、開く をクリックします。
  18.   [OK] をクリックします。

申し立てルールを追加する

3つのクレームルールを追加する。 メール、NameID へのメール、および組織名

  1. [証明書利用者信頼]ページで、前の手順で作成した信頼を右クリックして請求ルールを編集を選択します。。
  2. Eメールルールを追加します。
    1. [ルールを追加] をクリックします。  
    2. 次の設定で要求規則を構成します。

      プロパティ 説明
      クレームルールテンプレート 選択する LDAP属性をクレームとして送信する
      クレームルール名 タイプ Eメール。
      属性ストア 選択する Active Directory
      LDAP属性 選択する メールアドレス
      送信クレームタイプ 選択する 電子メールアドレス
    3. 終了をクリックします。
  3. メールを NameID ルールに追加します:
    1. [ルールを追加] をクリックします。 
    2. 次の設定で要求規則を構成します。

      プロパティ 説明
      クレームルールテンプレート 選択する 受信クレームを変換する
      クレームルール名 メールを NameID に入力します。
      受信クレームタイプ 選択する 電子メールアドレス
      送信クレームタイプ 選択する 名前ID
      発信名IDの形式 選択する 一時識別子
      すべての申し立てを通過する 選択する すべての申し立てを通過する。
    3. 終了をクリックします。

  4. 組織名ルールを追加します。

    1. [ルールを追加] をクリックします。 
    2. 次の設定で要求規則を構成します。

      プロパティ 説明
      クレームルールテンプレート 選択する カスタムルールを使用して請求を送信する
      クレームルール名 タイプ 組織名
      カスタムルール

      次のテキストを入力し、OrgName Genesys Cloud 組織の短縮名を入力します。組織名では大文字と小文字が区別されます。  

      => issue(Type = "OrganizationName", Value = "OrgName");
    3. 終了をクリックします。
  5. Issuance Transform Rules] タブで、ルールが以下の順番になっていることを確認します。
    1. Eメール
    2. NameID へのメール
    3. 組織名

SAML属性

次のSAML属性がアサーションに存在する場合、GenesysCloudはそれらの属性に作用します。 属性では大文字と小文字が区別されます。 

属性名 属性値
組織名 
  • IDプロバイダーが開始したシングル サインオン : 組織の短縮名を使用します。
  • 以下のためのサービス プロバイダーダー-initiated シングル サインオンン: 組織名は、選択した組織と一致する必要があります。 単一のIDプロバイダーを使用して複数のGenesys Cloud組織を維持している場合に適用されます。 
Eメール 認証されるGenesys Cloudユーザーの電子メールアドレス。
  • 既存のGenesys Cloudユーザーである必要があります。
  • IDプロバイダーがサブジェクトNameIDとして電子メールアドレスを使用しない場合は、有効な電子メールアドレスが必要です。
サービス名 

有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:

  • directory (Genesys Cloud Collaborateクライアントにリダイレクト)
  • directory-admin(Genesys Cloud Admin UIにリダイレクト)

Genesys Cloud構成の証明書を取得する

  1. コンソールツリーで、に移動します。 AD FS> サービス > 証明書。
  2. トークン署名の下の証明書で ビューの証明書を右クリックします。
  3. 詳細 タブとクリック ファイルにコピーをクリックします 。
  4. エクスポートファイル形式については、 Base 64エンコードX.509(.CER)
  5. ファイル名については、以下のステップを実行してください。
    1. クリック ブラウズ
    2. ファイル名を入力してください。
    3. 保存するをクリックします。
  6. 終了をクリックします。

Genesys Cloud設定のメタデータを取得する

メタデータ ファイルには、発行元 (entityID) と PureCloud を構成するためのリダイレクト URL が含まれています。

  1. コンソールツリーで、に移動します。 AD FS>  サービス > エンドポイント。
  2. FederationMetadata.xml というファイルに移動してダウンロードします。

認証方法を選択する

エクストラネットおよびイントラネット上のGenesys Cloudにログインするための認証方法を選択します。

  1. コンソールツリーで、に移動します。 AD FS> 認証ポリシー。
  2. [プライマリ認証] >[グローバル設定]で、編集をクリックします。
  3. エクストラネットで、チェック フォーム認証。
  4. イントラネットの下にある フォーム認証 そして Windows認証。
  5.   [OK] をクリックします。

Genesysクラウドの設定

  1. Genesys Cloudで、管理をクリックします。
  2. 「統合」の下でシングル・サインオンをクリックします。
  3. クリック ADFS / Azure AD(プレミアム) タブ。
  4. Microsoft ADFSから収集したアイデンティティプロバイダのメタデータを入力します。

    フィールド 説明
    証明書

    SAML 署名検証用に X.509 証明書をアップロードするには、次のいずれかを実行します。

    1. 証明書をアップロードするには、Select Certificates to upload をクリックします。
    2. X.509証明書を選択します。
    3. 開くをクリックします。
    4. オプションで、バックアップ証明書をロードするには、手順1〜3を繰り返します。

    もしくは次のようにできます:

    1. 証明書ファイルをドラッグ&ドロップします。
    2. オプションで、バックアップ証明書を読み込むには、最初のステップを繰り返します。

    アップロードされた証明書は、有効期限付きで表示されます。 証明書を削除するには、X をクリックします。

     メモ:  

    発行者URI FederationMetadata.xml ファイルからの entityID を入力します。
    宛先 URI

    見つけるシングルサインオンサービスFederationMetadata.xml ファイル内のタグで、Binding が「urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect」に等しい。 例えば: <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”>

    「Location」属性に含まれる URL を使用します。例えば: https://your-adfs.com/adfs/ls

    シングル ログアウト URI

    FederationMetadata.xml ファイルで、Binding が “urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect” に等しい SingleLogoutService タグを見つけます。例: <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”>

    「Location」属性に含まれる URL を使用します。例えば: https://your-adfs.com/adfs/ls

    シングル ログアウト バインディング HTTPリダイレクトを選択します。
    証明書利用者 ID 証明書利用者信頼を追加するときに設定された一意の識別子を追加します。 
  5. 保存するをクリックします。