Microsoft ADFS をシングル サインオン プロバイダーとして追加する

前提条件:
  • シングル・サインオン > プロバイダー > 追加、削除、編集、表示権限
  • 組織のADFSアカウントにおける管理者の役割
  • ユーザーの電子メールアドレスは、ADFSとGenesys Cloudの両方で同じです
  • SAML 2.0をサポートする任意のMicrosoft ADFSバージョン。 バージョンにより、構成に若干の違いがあります。

Genesys Cloudをアプリケーションとして追加し、組織メンバーがMicrosoft ADFSアカウントの認証情報を使用してアクセスできるようにします。

メモ: 
  • Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
  • 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、以下を参照してください。 SSOのみで認証するようにGenesys Cloudを設定する.
  • 管理者は、ビジネス継続性を確保するために、追加の証明書を1つ保存するように選択できます。 1つの証明書が無効または期限切れになった場合、バックアップ証明書は統合を保持します。

  • サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。

Microsoft ADFSを設定する

PureCloud構成用の証明書を入手する

  1. Genesys Cloudで、 管理.
  2. 「統合」の下で、「」をクリックします。 シングル・サインオン。
  3. クリック ADFS / Azure AD(プレミアム) タブ。
  4. Genesysクラウド署名証明書、 クリック 証明書をダウンロードする
  5. ファイルを保存します。

証明書利用者信頼を追加する

  1. [管理ツール] > [AD FS] に移動します。  
  2. コンソールツリーで、に移動します。 AD FS>信頼関係>証明書利用者の信頼
  3. ウィザードを開くには、「Add Relying Party Trust」 をクリックします。
  4. データソースの選択」ページで、返信先に関するデータを手動で入力する をクリックします。
  5. 表示名の指定]ページで、返信先(Genesys Cloudのこと)の名前を入力します。
  6. Choose Profile ページで、AD FS profile をクリックして SAML を選択します。
  7. 証明書の設定」ページをスキップします。
  8. URLの設定]ページで、次の手順を実行します。
    1. クリック SAML 2.0 WebSSOプロトコルのサポートを有効にする

    2. チェックボックスの下のフィールドに、AWSリージョンに基づくGenesys Cloud組織の以下のURLを入力します。

      AWSリージョン

      URL
      米国東部(N. ヴァージニア州

      https://login.mypurecloud.com/saml
      US East 2(オハイオ) https://login.use2.us-gov-pure.cloud/saml
      米国西部(オレゴン)

      https ://login.usw2.pure.cloud/saml 
      カナダ(Canada Central)

      https ://login.usw2.pure.cloud/saml
      南米(サンパウロ)

      https://login.sae1.pure.cloud/saml
      EU(フランクフルト)

      https://login.mypurecloud.ie/saml
      EU (アイルランド)

      https://login.mypurecloud.ie/saml 
      EU(ロンドン)

      https ://login.usw2.pure.cloud/saml
      アジア太平洋 (ムンバイ)

      https ://login.usw2.pure.cloud/saml
      アジア太平洋 (ソウル)

      https ://login.usw2.pure.cloud/saml 
      アジア太平洋 (シドニー)

      https://login.mypurecloud.com.au/saml
      アジア太平洋 (東京)

      https://login.mypurecloud.jp/saml
  9. Configure Identifiers]ページで、[Relying party trust identifier]の値を入力します。 値は、信頼する相手 または 参加者信頼を識別するために使用する一意の文字列です。 フェデレーションサービスへのリクエストで依拠当事者を特定すると、AD FSはプレフィックスマッチングロジックを用いて、AD FS設定データベース内の依拠当事者信頼を決定する。
  10. 今すぐ多要素認証を設定する]ページで、MFAを設定するかどうかを選択します。
    注意: 本書では、MFA を設定する手順については説明しません。
  11. 他のすべての設定をデフォルトのままにして閉じるをクリックします 。
  12. [証明書利用者信頼]ページで、前の手順で作成した信頼を右クリックして請求ルールを編集を選択します。。
  13. の中に エンドポイント タブをクリックし、クリックします SAMLを追加する
  14. にとって エンドポイントタイプ、 選ぶ SAMLログアウト
    AWSリージョン URL
    米国東部(N. ヴァージニア州 https://login.mypurecloud.com/saml
    US East 2(オハイオ) https://login.use2.us-gov-pure.cloud/saml/logout
    米国西部(オレゴン) https ://login.usw2.pure.cloud/saml 
    カナダ(Canada Central) https ://login.usw2.pure.cloud/saml 
    南米(サンパウロ) https://login.sae1.pure.cloud/saml/logout 
    EU(フランクフルト) https://login.mypurecloud.ie/saml
    EU (アイルランド) https://login.mypurecloud.ie/saml 
    EU(ロンドン) https ://login.usw2.pure.cloud/saml
    アジア太平洋 (ムンバイ) https ://login.usw2.pure.cloud/saml
    アジア太平洋 (ソウル) https ://login.usw2.pure.cloud/saml 
    アジア太平洋 (シドニー) https://login.mypurecloud.com.au/saml
    アジア太平洋 (東京) https://login.mypurecloud.jp/saml
  15.   [OK] をクリックします。
  16. の中に サイン タブをクリックし、クリックします 追加
  17. ADFS設定用の証明書を取得する」の手順5で保存した証明書を選択し、開く をクリックします。
  18.   [OK] をクリックします。

申し立てルールを追加する

3つのクレームルールを追加する。 メール、NameID へのメール、および組織名

  1. [証明書利用者信頼]ページで、前の手順で作成した信頼を右クリックして請求ルールを編集を選択します。。
  2. Eメールルールを追加します。
    1. [ルールを追加] をクリックします。  

    2. 次の設定で要求規則を構成します。

      プロパティ    説明
      クレームルールテンプレート 選択する LDAP属性をクレームとして送信する
      クレームルール名 タイプ Eメール。
      属性ストア 選択する Active Directory
      LDAP属性 選択する メールアドレス
      送信クレームタイプ 選択する 電子メールアドレス
    3. 終了をクリックします。
  3. メールを NameID ルールに追加します:
    1. [ルールを追加] をクリックします。 

    2. 次の設定で要求規則を構成します。

      プロパティ    説明
      クレームルールテンプレート 選択する 受信クレームを変換する
      クレームルール名 メールを NameID に入力します。
      受信クレームタイプ 選択する 電子メールアドレス
      送信クレームタイプ 選択する 名前ID
      発信名IDの形式 選択する 一時識別子
      すべての申し立てを通過する 選択する すべての申し立てを通過する。

    3. 終了をクリックします。

  4. 組織名ルールを追加します。

    1. [ルールを追加] をクリックします。 

    2. 次の設定で要求規則を構成します。

      プロパティ    説明
      クレームルールテンプレート 選択する カスタムルールを使用して請求を送信する
      クレームルール名 タイプ 組織名
      カスタムルール

      次のテキストを入力し、置換します 組織名 Genesys Cloud組織の短い名前で構成できます。 組織名では大文字と小文字が区別されます。  

      => issue(Type = "OrganizationName", Value = "OrgName");
    3. 終了をクリックします。
  5. Issuance Transform Rules] タブで、ルールが以下の順番になっていることを確認します。
    1. Eメール
    2. NameID へのメール
    3. 組織名

SAML属性

次のSAML属性がアサーションに存在する場合、GenesysCloudはそれらの属性に作用します。 属性では大文字と小文字が区別されます。 

属性名 属性値
組織名 
  • IDプロバイダーが開始したシングル サインオン : 組織の短縮名を使用します。
  • 以下のためのサービス プロバイダーダー-initiated シングル サインオンン: 組織名は、選択した組織と一致する必要があります。 単一のIDプロバイダーを使用して複数のGenesys Cloud組織を維持している場合に適用されます。 
email  認証されるGenesys Cloudユーザーの電子メールアドレス。
  • 既存のGenesys Cloudユーザーである必要があります。
  • IDプロバイダーがサブジェクトNameIDとして電子メールアドレスを使用しない場合は、有効な電子メールアドレスが必要です。
サービス名 

有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:

  • ディレクトリ(Genesys Cloud Collaborateクライアントにリダイレクト)
  • directory-admin(Genesys Cloud Admin UIにリダイレクト)

Genesys Cloud構成の証明書を取得する

  1. コンソールツリーで、に移動します。 AD FS> サービス > 証明書。
  2. トークン署名の下の証明書で ビューの証明書を右クリックします。
  3. 詳細 タブとクリック ファイルにコピーをクリックします 。
  4. エクスポートファイル形式については、 Base 64エンコードX.509(.CER)
  5. ファイル名については、以下のステップを実行してください。
    1. クリック ブラウズ
    2. ファイル名を入力してください。
    3.  保存するをクリックします。
  6. 終了をクリックします。

Genesys Cloud設定のメタデータを取得する

メタデータ ファイルには、発行元 (entityID) と PureCloud を構成するためのリダイレクト URL が含まれています。

  1. コンソールツリーで、に移動します。 AD FS>  サービス > エンドポイント。
  2. FederationMetadata.xml というファイルに移動してダウンロードします。

認証方法を選択する

エクストラネットおよびイントラネット上のGenesys Cloudにログインするための認証方法を選択します。

  1. コンソールツリーで、に移動します。 AD FS> 認証ポリシー。
  2. [プライマリ認証] >[グローバル設定]で、編集をクリックします。
  3. エクストラネットで、チェック フォーム認証。
  4. イントラネットの下にある フォーム認証 そして Windows認証。
  5.   [OK] をクリックします。

Genesysクラウドの設定

  1. Genesys Cloudで、管理.
  2. 「統合」の下でシングル・サインオンをクリックします。
  3. クリック ADFS / Azure AD(プレミアム) タブ。

  4. Microsoft ADFSから収集したアイデンティティプロバイダのメタデータを入力します。

    フィールド    説明
    証明書

    1. クリック ブラウズ。
    2. 保存した証明書を選択してをクリックします 開いた
    3. クリック 追加 . 
    4. オプションで、バックアップ証明書をロードするには、手順1〜3を繰り返します。 
    発行者URI FederationMetadata.xml ファイルからの entityID を入力します。
    宛先 URI

    FederationMetadata.xml ファイルのSingleSignOnService タグで、Binding が "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" となっているものを探します。 例:  <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”><sajan index=" 1"="">

    「場所」属性に含まれるURLを使用します。 例:   https://your-adfs.com/adfs/ls
    シングル ログアウト URI

    「urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect」に等しいBindingを持つFederationMetadata.xmlファイルでSingleLogoutServiceタグを見つけます。次に例を示します。 <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”><sajan index=" 2"="">

    「場所」属性に含まれるURLを使用します。 例:   https://your-adfs.com/adfs/ls
    シングル ログアウト バインディング 選択する HTTPリダイレクト
    証明書利用者 ID 証明書利用者信頼を追加するときに設定された一意の識別子を追加します。 
  5.  保存するをクリックします。