Microsoft ADFSをシングルサインオンプロバイダとして追加する

前提条件:
  • シングルサインオン>プロバイダー>追加、削除、編集、表示権限
  • 組織のADFSアカウントにおける管理者の役割
  • ユーザーの電子メールアドレスは、ADFSとPureCloudの両方で同じです。
  • SAML 2.0をサポートする任意のMicrosoft ADFSバージョン。バージョンによっては、構成に若干の違いがあるかもしれません。

組織のメンバーが自分のMicrosoft ADFSアカウントへの資格情報を使用してアクセスできるアプリケーションとしてPureCloudを追加します。

メモ
  • PureCloudは、シングルサインオンサードアサーション暗号化をサポートしていません。PureCloudログインサービスには、TLS ( Transport Layer Security )(TLS)が必要です。チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
  • 管理者はオプションでデフォルトのPureCloudログインを無効にし、SSOプロバイダのみを使用して認証を強制することができます。詳細については、 SSOのみで認証するようにPureCloudを設定する

Microsoft ADFSを設定する

証明書利用者信頼を追加する

  1. に行く 管理ツール > ; AD FS
  2. コンソールツリーで、に移動します。 AD FS> ;信頼関係> ;証明書利用者の信頼
  3. クリック 証明書利用者信頼を追加する ウィザードを起動します。
  4. プロファイルの選択画面で、をクリックします。 AD FSプロファイル SAMLを選択します。
  5. URLの設定画面で、次の手順を実行します。
    1. クリック SAML 2.0 WebSSOプロトコルのサポートを有効にする

    2. チェックボックスの下のフィールドに、PureCloud組織が作成されたAWSリージョンに基づいて、次のURLを入力します。

      AWSリージョン

      URL
      アメリカ東部(バージニア北部)

      https://login.mypurecloud.com/saml
      米国西部(オレゴン)

      https ://login.usw2.pure.cloud/saml 
      カナダ(Canada Central)

      https://login.cac1.pure.cloud/saml
      EU(フランクフルト)

      https://login.mypurecloud.de/saml
      EU(アイルランド)

      https ://login.mypurecloud.ie/saml 
      EU(ロンドン)

      https://login.euw2.pure.cloud/saml
      アジアパシフィック(ソウル)

      https: / /ログイン.apne2.pure.cloud/saml  
      アジア太平洋(シドニー)

      https://login.mypurecloud.com.au/saml
      アジア太平洋地域(東京)

      https://login.mypurecloud.jp/saml
  6. 「識別子の設定」画面で、「Relying 」という手入力 or 参加者信頼識別子の値を入力します。値は、信頼する相手 または 参加者信頼を識別するために使用する一意の文字列です。信頼する相手 or 参加者がフェデレーションサービスへの要求で識別されると、AD FSはプレフィックス一致ロジックを使用して、AD FS構成データベースに一致する相手 or 参加者信頼があるかどうかを判断します。
  7. 暗号化の設定画面を空白のままにします。 PureCloudは自動的に証明書利用者識別子から必要な暗号化を提供します。
  8. 他のすべての設定をデフォルトのままにして閉じるをクリックします 。

申し立てルールを追加する

次の3つの要求規則を追加する必要があります。Eメール、にEメール NameID組織名。

  1. [証明書利用者信頼]ページで、前の手順で作成した信頼を右クリックして請求ルールを編集を選択します。。
  2. Eメールルールを追加します。
    1. クリック ルールを追加

    2. 次の設定で要求規則を構成します。

      この物件の… これを行う…
      クレームルールテンプレート 選択する LDAP属性をクレームとして送信する
      クレームルール名 タイプ Eメール
      属性ストア 選択する Active Directory
      LDAP属性 選択する メールアドレス
      送信クレームタイプ 選択する 電子メールアドレス
    3. クリック 終了
  3. にメールを追加 NameID ルール:
    1. クリック ルールを追加

    2. 次の設定で要求規則を構成します。

      この物件の… これを行う…
      クレームルールテンプレート 選択する 受信クレームを変換する
      クレームルール名 タイプ にメールする NameID
      受信クレームタイプ 選択する 電子メールアドレス
      送信クレームタイプ 選択する 名前ID
      発信名IDの形式 選択する 一時識別子
      すべての申し立てを通過する 選択する すべての申し立てを通過する

    3. クリック 終了

  4. 組織名ルールを追加します。

    1. クリック ルールを追加

    2. 次の設定で要求規則を構成します。

      この物件の… これを行う…
      クレームルールテンプレート 選択する カスタムルールを使用して請求を送信する
      クレームルール名 タイプ 組織名
      カスタムルール

      次のテキストを入力して置き換えます 組織名 あなたのPureCloud組織のショートネームと一緒に。組織名では大文字と小文字が区別されます。

      => issue(Type = "OrganizationName", Value = "OrgName");
    3. クリック 終了
  5. [発行変換規則]タブで、規則が次の順序になっていることを確認します。
    1. Eメール
    2. にメールする NameID
    3. 組織名

SAML属性

PureCloudは、アサーションに存在する場合、以下のSAML属性に作用します。属性では大文字と小文字が区別されます。

属性名 属性値
組織名 
  • IDプロバイダーが開始したシングル サインオン :組織の短縮名を使用します。
  • 以下のためのサービス プロバイダーダー-initiated シングル サインオンン:組織名は、 ユーザーが選択する組織と一致する必要があります。組織が単一のIDプロバイダーを使用して複数のPureCloud組織を維持している場合に適用されます。
email  電子メールアドレスPureCloud ユーザー認証されます。

  • 既存のPureCloudである必要がありユーザー 。
  • IDプロバイダーがメールアドレスを件名として使用しない場合は必須 NameID.
サービス名 

(オプション)。有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:

  • ディレクトリ( PureCloud Collaborateクライアントにリダイレクト)
  • directory-admin( PureCloud管理UIにリダイレクトします)

PureCloud構成用の証明書を入手する

    1. コンソールツリーで、に移動します。 AD FS> ; サービス > ; 証明書
    2. トークン署名の下の証明書で ビューの証明書を右クリックします。
    3. 詳細 タブとクリック ファイルにコピーをクリックします 。
    4. エクスポートファイル形式については、 Base 64エンコードX.509(.CER)
    5. ファイル名については、以下のステップを実行してください。
      1. クリック ブラウズ
      2. ファイル名を入力してください。
      3. クリック 保存する
    6. クリック 終了
    7. プレーンテキストエディタで証明書ファイルを開き、以下の手順を実行します。
      1. を削除 ----- BEGIN CERTIFICATE ------ そして ------ END CERTIFICATE ----- 行。
      2. 証明書ファイルを保存してください。

PureCloud設定のメタデータを取得する

メタデータファイルには発行者が含まれています(entityID)およびPureCloudを設定するためのリダイレクトURL

    1. コンソールツリーで、に移動します。 AD FS> ;  サービス > ; エンドポイント
    2. というファイルを見つけてダウンロードします。 FederationMetadata.xml。

認証方法を選択する

エクストラネットとイントラネットでPureCloudにログインするための認証方法を選択します。

    1. コンソールツリーで、に移動します。 AD FS> ; 認証ポリシー
    2. [プライマリ認証] >[グローバル設定]で、編集をクリックします。
    3. エクストラネットで、チェック フォーム認証
    4. イントラネットの下にある フォーム認証 そして Windows認証
    5. クリック OK

PureCloudを設定する

    1. PureCloudで、管理者をクリックします。
    2. 「統合」の下でシングル・サインオンをクリックします。
    3. クリック ADFS / Azure AD(プレミアム) タブ。

    4. Microsoft ADFSから収集したアイデンティティプロバイダのメタデータを入力します。

      この分野で… これを行う…
      証明書

      1.クリック ブラウズ。
      2.保存した証明書を選択して開くをクリックします。 。
      発行者URI を入力 entityID から FederationMetadata.xml ファイル。
      ターゲットURI からリダイレクトURLを入力します。 FederationMetadata.xml ファイル。
      証明書利用者ID 証明書利用者信頼を追加するときに設定された一意の識別子を追加します。
    5. クリック 保存する