Microsoft ADFS をシングル サインオン プロバイダーとして追加する
- Single Sign-on > Provider > Add, Delete, Edit, View 権限
- 組織のADFSアカウントにおける管理者の役割
- ユーザーの電子メールアドレスは、ADFSとGenesys Cloudの両方で同じです
- SAML 2.0をサポートする任意のMicrosoft ADFSバージョン。 バージョンにより、構成に若干の違いがあります。
Genesys Cloudをアプリケーションとして追加し、組織メンバーがMicrosoft ADFSアカウントの認証情報を使用してアクセスできるようにします。
- Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
- 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、SSOのみで認証するようにGenesys Cloudを設定するを参照してください。
サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。
- Genesys Cloud デスクトップ アプリは、ブラウザ拡張機能のインストールをサポートしていません。ブラウザ拡張機能を必要とする Azure 条件付きアクセス ポリシーを構成している場合は、Microsoft Entra ID 拡張機能がインストールされている Genesys Cloud 対応ブラウザを使用する必要があります。この構成では、デスクトップ アプリを使用したシングル サインオンは機能しません。
Microsoft ADFSを設定する
PureCloud構成用の証明書を入手する
- Genesys Cloudで、 管理.
- 統合で、シングル・サインオンをクリックします。
- クリック ADFS / Azure AD(プレミアム) タブ。
- 下 Genesysクラウド署名証明書、 クリック 証明書をダウンロードする。
- ファイルを保存します。
証明書利用者信頼を追加する
- [管理ツール] > [AD FS] に移動します。
- コンソールツリーで、に移動します。 AD FS>信頼関係>証明書利用者の信頼。
- ウィザードを開くには、「Add Relying Party Trust」 をクリックします。
- データソースの選択」ページで、返信先に関するデータを手動で入力する をクリックします。
- 表示名の指定]ページで、返信先(Genesys Cloudのこと)の名前を入力します。
- Choose Profile ページで、AD FS profile をクリックして SAML を選択します。
- 証明書の設定」ページをスキップします。
- URLの設定]ページで、次の手順を実行します。
- クリック SAML 2.0 WebSSOプロトコルのサポートを有効にする。
-
チェックボックスの下のフィールドに、AWSリージョンに基づくGenesys Cloud組織の以下のURLを入力します。
AWSリージョン URL
米国東部(N. ヴァージニア州 https://login.mypurecloud.com/saml
US East 2(オハイオ) https://login.use2.us-gov-pure.cloud/saml
米国西部(オレゴン) https ://login.usw2.pure.cloud/saml
カナダ(Canada Central) https ://login.usw2.pure.cloud/saml
南米(サンパウロ) https://login.sae1.pure.cloud/saml
EU(フランクフルト) https://login.mypurecloud.ie/saml
EU (アイルランド) https://login.mypurecloud.ie/saml
EU(ロンドン) https ://login.usw2.pure.cloud/saml
アジア太平洋 (ムンバイ) https ://login.usw2.pure.cloud/saml
アジア太平洋 (ソウル) https ://login.usw2.pure.cloud/saml
アジア太平洋 (シドニー) https://login.mypurecloud.com.au/saml
アジア太平洋 (東京) https://login.mypurecloud.jp/saml
- Configure Identifiers]ページで、[Relying party trust identifier]の値を入力します。 値は、信頼する相手 または 参加者信頼を識別するために使用する一意の文字列です。 フェデレーションサービスへのリクエストで依拠当事者を特定すると、AD FSはプレフィックスマッチングロジックを用いて、AD FS設定データベース内の依拠当事者信頼を決定する。
- 今すぐ多要素認証を設定する]ページで、MFAを設定するかどうかを選択します。
注意: 本書では、MFA を設定する手順については説明しません。 - 他のすべての設定をデフォルトのままにして閉じるをクリックします 。
- [証明書利用者信頼]ページで、前の手順で作成した信頼を右クリックして請求ルールを編集を選択します。。
- の中に エンドポイント タブをクリックし、クリックします SAMLを追加する。
- にとって エンドポイントタイプ、 選ぶ SAMLログアウト。
AWSリージョン URL 米国東部(N. ヴァージニア州 https://login.mypurecloud.com/saml
US East 2(オハイオ) https://login.use2.us-gov-pure.cloud/saml/logout
米国西部(オレゴン) https ://login.usw2.pure.cloud/saml
カナダ(Canada Central) https ://login.usw2.pure.cloud/saml
南米(サンパウロ) https://login.sae1.pure.cloud/saml/logout
EU(フランクフルト) https://login.mypurecloud.ie/saml
EU (アイルランド) https://login.mypurecloud.ie/saml
EU(ロンドン) https ://login.usw2.pure.cloud/saml
アジア太平洋 (ムンバイ) https ://login.usw2.pure.cloud/saml
アジア太平洋 (ソウル) https ://login.usw2.pure.cloud/saml
アジア太平洋 (シドニー) https://login.mypurecloud.com.au/saml
アジア太平洋 (東京) https://login.mypurecloud.jp/saml
- [OK] をクリックします。
- の中に サイン タブをクリックし、クリックします 追加。
- ADFS設定用の証明書を取得する」の手順5で保存した証明書を選択し、開く をクリックします。
- [OK] をクリックします。
申し立てルールを追加する
3つのクレームルールを追加する。 メール、NameID へのメール、および組織名
- [証明書利用者信頼]ページで、前の手順で作成した信頼を右クリックして請求ルールを編集を選択します。。
- Eメールルールを追加します。
- [ルールを追加] をクリックします。
-
次の設定で要求規則を構成します。
プロパティ 説明 クレームルールテンプレート 選択する LDAP属性をクレームとして送信する。 クレームルール名 タイプ Eメール。 属性ストア 選択する Active Directory。 LDAP属性 選択する メールアドレス。 送信クレームタイプ 選択する 電子メールアドレス。 - 終了をクリックします。
- メールを NameID ルールに追加します:
- [ルールを追加] をクリックします。
-
次の設定で要求規則を構成します。
プロパティ 説明 クレームルールテンプレート 選択する 受信クレームを変換する。 クレームルール名 メールを NameID に入力します。 受信クレームタイプ 選択する 電子メールアドレス。 送信クレームタイプ 選択する 名前ID。 発信名IDの形式 選択する 一時識別子。 すべての申し立てを通過する 選択する すべての申し立てを通過する。 -
終了をクリックします。
-
組織名ルールを追加します。
- [ルールを追加] をクリックします。
-
次の設定で要求規則を構成します。
プロパティ 説明 クレームルールテンプレート 選択する カスタムルールを使用して請求を送信する。 クレームルール名 タイプ 組織名。 カスタムルール 次のテキストを入力し、置換します
組織名
Genesys Cloud組織の短い名前で構成できます。 組織名では大文字と小文字が区別されます。=> issue(Type = "OrganizationName", Value = "OrgName");
- 終了をクリックします。
- Issuance Transform Rules] タブで、ルールが以下の順番になっていることを確認します。
- Eメール
- NameID へのメール
- 組織名
SAML属性
次のSAML属性がアサーションに存在する場合、GenesysCloudはそれらの属性に作用します。 属性では大文字と小文字が区別されます。
属性名 | 属性値 |
---|---|
組織名 |
|
Eメール | 認証されるGenesys Cloudユーザーの電子メールアドレス。
|
サービス名 |
有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:
|
Genesys Cloud構成の証明書を取得する
- コンソールツリーで、に移動します。 AD FS> サービス > 証明書。
- トークン署名の下の証明書で ビューの証明書を右クリックします。
- 詳細 タブとクリック ファイルにコピーをクリックします 。
- エクスポートファイル形式については、 Base 64エンコードX.509(.CER)。
- ファイル名については、以下のステップを実行してください。
- クリック ブラウズ。
- ファイル名を入力してください。
- 保存するをクリックします。
- 終了をクリックします。
Genesys Cloud設定のメタデータを取得する
メタデータ ファイルには、発行元 (entityID) と PureCloud を構成するためのリダイレクト URL が含まれています。
- コンソールツリーで、に移動します。 AD FS> サービス > エンドポイント。
- FederationMetadata.xml というファイルに移動してダウンロードします。
認証方法を選択する
エクストラネットおよびイントラネット上のGenesys Cloudにログインするための認証方法を選択します。
- コンソールツリーで、に移動します。 AD FS> 認証ポリシー。
- [プライマリ認証] >[グローバル設定]で、編集をクリックします。
- エクストラネットで、チェック フォーム認証。
- イントラネットの下にある フォーム認証 そして Windows認証。
- [OK] をクリックします。
Genesysクラウドの設定
- Genesys Cloudで、管理をクリックします。
- 「統合」の下でシングル・サインオンをクリックします。
- クリック ADFS / Azure AD(プレミアム) タブ。
-
Microsoft ADFSから収集したアイデンティティプロバイダのメタデータを入力します。
フィールド 説明 証明書 SAML 署名検証用に X.509 証明書をアップロードするには、次のいずれかを実行します。
- 証明書をアップロードするには、Select Certificates to upload をクリックします。
- X.509証明書を選択します。
- 開くをクリックします。
- オプションで、バックアップ証明書をロードするには、手順1〜3を繰り返します。
もしくは次のようにできます:
- 証明書ファイルをドラッグ&ドロップします。
- オプションで、バックアップ証明書を読み込むには、最初のステップを繰り返します。
アップロードされた証明書は、有効期限付きで表示されます。 証明書を削除するには、X をクリックします。
メモ:発行者URI FederationMetadata.xml ファイルからの entityID を入力します。 宛先 URI FederationMetadata.xml ファイルのSingleSignOnService タグで、Binding が "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" となっているものを探します。 例:
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”><sajan index=" 1"="">
「場所」属性に含まれるURLを使用します。 例:
https://your-adfs.com/adfs/ls
シングル ログアウト URI 「urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect」に等しいBindingを持つFederationMetadata.xmlファイルでSingleLogoutServiceタグを見つけます。次に例を示します。
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”><sajan index=" 2"="">
「場所」属性に含まれるURLを使用します。 例:
https://your-adfs.com/adfs/ls
シングル ログアウト バインディング HTTPリダイレクトを選択します。 証明書利用者 ID 証明書利用者信頼を追加するときに設定された一意の識別子を追加します。 - 保存するをクリックします。