Microsoft ADFSをシングルサインオンプロバイダとして追加する


前提条件:
  • シングルサインオン>プロバイダー>追加、削除、編集、表示権限
  • 組織のADFSアカウントにおける管理者の役割
  • ユーザーの電子メールアドレスは、ADFSとGenesys Cloudの両方で同じです
  • SAML 2.0をサポートする任意のMicrosoft ADFSバージョン。バージョンによっては、構成に若干の違いがあるかもしれません。

Genesys Cloudをアプリケーションとして追加し、組織メンバーがMicrosoft ADFSアカウントの認証情報を使用してアクセスできるようにします。

メモ
  • Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
  • 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。詳細については、以下を参照してください。 SSOのみで認証するようにGenesys Cloudを設定する.

Microsoft ADFSを設定する

証明書利用者信頼を追加する

  1. に行く 管理ツール > ; AD FS
  2. コンソールツリーで、に移動します。 AD FS> ;信頼関係> ;証明書利用者の信頼
  3. クリック 証明書利用者信頼を追加する ウィザードを起動します。
  4. プロファイルの選択画面で、をクリックします。 AD FSプロファイル SAMLを選択します。
  5. URLの設定画面で、次の手順を実行します。
    1. クリック SAML 2.0 WebSSOプロトコルのサポートを有効にする
    2. チェックボックスの下のフィールドに、Genesys Cloud組織が作成されたAWS地域に基づいて、次のURLを入力します。

      AWSリージョン

      URL

      アメリカ東部(バージニア北部)

      https://login.mypurecloud.com/saml

      米国西部(オレゴン)

      https ://login.usw2.pure.cloud/saml 

      カナダ(Canada Central)

      https://login.cac1.pure.cloud/saml

      EU(フランクフルト)

      https://login.mypurecloud.de/saml

      EU(アイルランド)

      https ://login.mypurecloud.ie/saml 

      EU(ロンドン)

      https://login.euw2.pure.cloud/saml

      アジアパシフィック(ソウル)

      https: / /ログイン.apne2.pure.cloud/saml  

      アジア太平洋(シドニー)

      https://login.mypurecloud.com.au/saml

      アジア太平洋地域(東京)

      https://login.mypurecloud.jp/saml

  6. 「識別子の設定」画面で、「Relying 」という手入力 or 参加者信頼識別子の値を入力します。値は、信頼する相手 または 参加者信頼を識別するために使用する一意の文字列です。信頼する相手 or 参加者がフェデレーションサービスへの要求で識別されると、AD FSはプレフィックス一致ロジックを使用して、AD FS構成データベースに一致する相手 or 参加者信頼があるかどうかを判断します。
  7. [Configure Encryption]画面は空白のままにします。 Genesys Cloudは、証明書利用者識別子から必要な暗号化を自動的に提供します。
  8. 他のすべての設定をデフォルトのままにして閉じるをクリックします 。

申し立てルールを追加する

次の3つの要求規則を追加する必要があります。Eメール、にEメール NameID組織名。

  1. [証明書利用者信頼]ページで、前の手順で作成した信頼を右クリックして請求ルールを編集を選択します。。
  2. Eメールルールを追加します。
    1. クリック ルールを追加
    2. 次の設定で要求規則を構成します。

      この物件の… これを行う…
      クレームルールテンプレート 選択する LDAP属性をクレームとして送信する
      クレームルール名 タイプ Eメール
      属性ストア 選択する Active Directory
      LDAP属性 選択する メールアドレス
      送信クレームタイプ 選択する 電子メールアドレス
    3. クリック 終了
  3. にメールを追加 NameID ルール:
    1. クリック ルールを追加
    2. 次の設定で要求規則を構成します。

      この物件の… これを行う…
      クレームルールテンプレート 選択する 受信クレームを変換する
      クレームルール名 タイプ にメールする NameID
      受信クレームタイプ 選択する 電子メールアドレス
      送信クレームタイプ 選択する 名前ID
      発信名IDの形式 選択する 一時識別子
      すべての申し立てを通過する 選択する すべての申し立てを通過する
    3. クリック 終了

  4. 組織名ルールを追加します。

    1. クリック ルールを追加
    2. 次の設定で要求規則を構成します。

      この物件の… これを行う…
      クレームルールテンプレート 選択する カスタムルールを使用して請求を送信する
      クレームルール名 タイプ 組織名
      カスタムルール

      次のテキストを入力し、置換します 組織名 Genesys Cloud組織の短い名前で構成できます。組織名では大文字と小文字が区別されます。

      => issue(Type = "OrganizationName", Value = "OrgName");
    3. クリック 終了
  5. [発行変換規則]タブで、規則が次の順序になっていることを確認します。
    1. Eメール
    2. にメールする NameID
    3. 組織名

SAML属性

Genesys Cloudは、アサーションに存在する場合、次のSAML属性に作用します。属性では大文字と小文字が区別されます。

属性名 属性値
組織名 
  • IDプロバイダーが開始したシングル サインオン :組織の短縮名を使用します。
  • 以下のためのサービス プロバイダーダー-initiated シングル サインオンン:組織名は、 ユーザーが選択する組織と一致する必要があります。単一のIDプロバイダーを使用して複数のGenesys Cloud組織を維持している場合に適用されます。
email  認証されるGenesys Cloudユーザーの電子メールアドレス。

  • 既存のGenesys Cloudユーザーである必要があります。
  • IDプロバイダーがメールアドレスを件名として使用しない場合は必須 NameID.
サービス名 

(オプション)。有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:

  • ディレクトリ(Genesys Cloud Collaborateクライアントにリダイレクト)
  • directory-admin(Genesys Cloud Admin UIにリダイレクト)

Genesys Cloud構成の証明書を取得する

    1. コンソールツリーで、に移動します。 AD FS> ; サービス > ; 証明書
    2. トークン署名の下の証明書で ビューの証明書を右クリックします。
    3. 詳細 タブとクリック ファイルにコピーをクリックします 。
    4. エクスポートファイル形式については、 Base 64エンコードX.509(.CER)
    5. ファイル名については、以下のステップを実行してください。
      1. クリック ブラウズ
      2. ファイル名を入力してください。
      3. クリック 保存する
    6. クリック 終了
    7. プレーンテキストエディタで証明書ファイルを開き、以下の手順を実行します。
      1. を削除 ----- BEGIN CERTIFICATE ------ そして ------ END CERTIFICATE ----- 行。
      2. 証明書ファイルを保存してください。

Genesys Cloud設定のメタデータを取得する

メタデータファイルには、発行者(entityID)およびGenesys Cloudを設定するためのリダイレクトURL。

    1. コンソールツリーで、に移動します。 AD FS> ;  サービス > ; エンドポイント
    2. というファイルを見つけてダウンロードします。 FederationMetadata.xml。

認証方法を選択する

エクストラネットおよびイントラネット上のGenesys Cloudにログインするための認証方法を選択します。

    1. コンソールツリーで、に移動します。 AD FS> ; 認証ポリシー
    2. [プライマリ認証] >[グローバル設定]で、編集をクリックします。
    3. エクストラネットで、チェック フォーム認証
    4. イントラネットの下にある フォーム認証 そして Windows認証
    5. クリック OK

Genesysクラウドの設定

    1. Genesys Cloudで、管理.
    2. 「統合」の下でシングル・サインオンをクリックします。
    3. クリック ADFS / Azure AD(プレミアム) タブ。
    4. Microsoft ADFSから収集したアイデンティティプロバイダのメタデータを入力します。

      この分野で… これを行う…
      証明書

      1.クリック ブラウズ。
      2.保存した証明書を選択して開くをクリックします。 。

      発行者URI を入力 entityID から FederationMetadata.xml ファイル。
      ターゲットURI からリダイレクトURLを入力します。 FederationMetadata.xml ファイル。
      証明書利用者ID 証明書利用者信頼を追加するときに設定された一意の識別子を追加します。
    5. クリック 保存する