シングルサインオンプロバイダーとしてMicrosoft Azure AD Premiumを追加する
- シングル・サインオン > プロバイダー > 追加、削除、編集、表示権限
- 組織のAzure AD Premiumアカウントにおける管理者の役割
- ユーザーの電子メールアドレスは両方とも同じです Azure ADプレミアム およびGenesys Cloud
- SAML 2.0 をサポートする Microsoft Azure AD Premium バージョン (バージョンによって構成が異なります)。
- または、SSO をサポートする無料の Azure AD サブスクリプション
Genesys Cloudをアプリケーションとして追加し、組織メンバーがMicrosoft Azure AD Premiumアカウントの認証情報を使用してアクセスできるようにします。
- Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
- 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、以下を参照してください。 SSOのみで認証するようにGenesys Cloudを設定する.
サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。
- Genesys Cloudのデスクトップアプリは、ブラウザの拡張機能のインストールをサポートしていません。 ブラウザ拡張を必要とするAzure条件付きアクセスポリシーを設定した場合、Azure AD拡張がインストールされたGenesys Cloud対応ブラウザを使用する必要があります。 この構成では、デスクトップアプリを使用したシングルサインオンは機能しません。
Microsoft ADFSを設定する
Genesys Cloudギャラリーアプリケーション(推奨される方法)を構成するか、カスタムGenesysCloudアプリケーションを作成することができます。
- クリック Azure Active ディレクトリ > 企業 アプリケーション。
- クリック 新しいアプリ。
- 検索ボックスに「Genesys Cloud for Azure」と入力します。
- アプリケーションをクリックし、名前を追加して、をクリックします 作成。
メモ: Genesys LabsIncによって公開されているものを選択します。
- シングル・サインオンをクリックします。
- SAMLをクリックします。
- 基本 SAML 構成で、編集 をクリックし、返信 URL フィールドに適切な Genesys Cloud SAML ログイン URL を入力し、ログアウト URL フィールドにログアウト URL を入力します。
の 識別子 (EntityID)は、Azureインスタンスに固有の任意の値にすることができます。 表には、返信URL とログアウトURL のうち、あなたのGenesys Cloud組織、AWSリージョンに基づくものが表示されます:
AWSリージョン 返信URL
ログアウトURL
米国東部(N. ヴァージニア州 https://login.mypurecloud.com/saml
https://login.mypurecloud.com/saml
US East 2(オハイオ) https://login.use2.us-gov-pure.cloud/saml
https://login.use2.us-gov-pure.cloud/saml/logout
米国西部(オレゴン) https ://login.usw2.pure.cloud/saml
https ://login.usw2.pure.cloud/saml
カナダ(Canada Central) https ://login.usw2.pure.cloud/saml
https ://login.usw2.pure.cloud/saml
南米(サンパウロ) https://login.sae1.pure.cloud/saml
https://login.sae1.pure.cloud/saml/logout
EU(フランクフルト) https://login.mypurecloud.ie/saml
https://login.mypurecloud.ie/saml
EU (アイルランド) https://login.mypurecloud.ie/saml
https://login.mypurecloud.ie/saml
EU(ロンドン) https ://login.usw2.pure.cloud/saml
https ://login.usw2.pure.cloud/saml
中東(UAE) https://login.mec1.pure.cloud/saml
https://login.mec1.pure.cloud/logout
アジア太平洋 (ムンバイ) https ://login.usw2.pure.cloud/saml
https ://login.usw2.pure.cloud/saml
アジア太平洋 (ソウル) https ://login.usw2.pure.cloud/saml
https ://login.usw2.pure.cloud/saml
アジア太平洋 (シドニー) https://login.mypurecloud.com.au/saml
https://login.mypurecloud.com.au/saml
アジア太平洋 (東京) https://login.mypurecloud.jp/saml
https://login.mypurecloud.jp/saml
- [ユーザー属性と要求]で、[]をクリックします。 編集する これらの属性名を入力します。 カスタムクレームを追加するには、ドロップダウンリストの上にある[ソース属性]フィールドにカスタム属性名を入力します。
メモ: 属性名では大文字と小文字が区別されます。 表に表示されているとおりに入力します。 クレームで名前空間を使用しないでください。
属性名 属性値 email user.userprincipalname
ノート:
- 電子メールクレームの場合、emailという名前の新しいクレームを作成します。
- Genesys Cloud のユーザーの電子メール アドレスを参照します。 通常、電子メール アドレスは user.userprincipalname です。 しかし Azure 管理者が別のユーザー プリンシパル名を持っている場合 (UPN) および電子メール、user.email を使用 (または user.mail として)。
- ケースは、Genesys Cloudでそのユーザーに設定された電子メールアドレスのケースと一致する必要があります。
Genesys Cloudは、電子メールアドレスを小文字に変更します。 ADが大文字の文字(John.Smith@company.comなど)を使用して電子メールを送信する場合は、電子メールの要求に小文字の変換を追加する必要があります。
-
- [クレームの管理]で、[ 変身。
- [変換の管理]で、[変換]を[ToLOWERCASE()]に設定します。
- パラメータをuser.mailに設定します。
- name クレームは email クレームとも一致する必要があります。
たとえば、AD に jsmith@company.com (user.userprinicpalname) としてログインしているが、Genesys Cloud の実際の電子メール アドレスが john.smith@company.com である場合、user.userprincipalname は使用できません。 Azure システムにあるものに応じて、user.mail または user.email を使用します。 名前空間情報を入力しないでください。
組織名 Genesys Cloud組織の短縮名 サービス名 有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:
- ディレクトリ(Genesys Cloud Collaborateクライアントにリダイレクト)
- directory-admin(Genesys Cloud Admin UIにリダイレクト)
- 電子メールクレームの場合、emailという名前の新しいクレームを作成します。
- SAML 署名証明書で、 証明書 (ベース 64) をクリックしてダウンロードします。
- 下 Azure 用 Genesys Cloud のセットアップ、注意してください ログインURL、 Azure AD 識別子、 と ログアウト URL. それらを使用して、Genesys Cloud でターゲット URI と発行者 URI を構成します。
- クリック Azure Active ディレクトリ > 企業 アプリケーション。
- クリック 新しいアプリ。
- [アプリケーションの追加]で、[]をクリックします。 非ギャラリーアプリケーション
- [名前] フィールドに「Genesys Cloud」と入力します。
- シングル・サインオンをクリックします。
- SAMLをクリックします。
- 基本 SAML 構成で、編集 をクリックし、返信 URL フィールドに適切な Genesys Cloud SAML ログイン URL を入力し、ログアウト URL フィールドにログアウト URL を入力します。
の 識別子 (EntityID)は、Azureインスタンスに固有の任意の値にすることができます。 表には、返信URL とログアウトURL のうち、あなたのGenesys Cloud組織、AWSリージョンに基づくものが表示されます:
AWSリージョン 返信URL
ログアウトURL
米国東部(N. ヴァージニア州 https://login.mypurecloud.com/saml
https://login.mypurecloud.com/saml
US East 2(オハイオ) https://login.use2.us-gov-pure.cloud/saml
https://login.use2.us-gov-pure.cloud/saml/logout
米国西部(オレゴン) https ://login.usw2.pure.cloud/saml
https ://login.usw2.pure.cloud/saml
カナダ(Canada Central) https ://login.usw2.pure.cloud/saml
https ://login.usw2.pure.cloud/saml
南米(サンパウロ) https://login.sae1.pure.cloud/saml
https://login.sae1.pure.cloud/saml/logout
EU(フランクフルト) https://login.mypurecloud.ie/saml
https://login.mypurecloud.ie/saml
EU (アイルランド) https://login.mypurecloud.ie/saml
https://login.mypurecloud.ie/saml
EU(ロンドン) https ://login.usw2.pure.cloud/saml
https ://login.usw2.pure.cloud/saml
アジア太平洋 (ムンバイ) https ://login.usw2.pure.cloud/saml
https ://login.usw2.pure.cloud/saml
アジア太平洋 (ソウル) https ://login.usw2.pure.cloud/saml
https ://login.usw2.pure.cloud/saml
アジア太平洋 (シドニー) https://login.mypurecloud.com.au/saml
https://login.mypurecloud.com.au/saml
アジア太平洋 (東京) https://login.mypurecloud.jp/saml
https://login.mypurecloud.jp/saml
- [ユーザー属性と要求]で、[]をクリックします。 編集する これらの属性名を入力します。 カスタムクレームを追加するには、ドロップダウンリストの上にある[ソース属性]フィールドにカスタム属性名を入力します。
メモ: 属性名では大文字と小文字が区別されます。 表に表示されているとおりに入力します。 クレームで名前空間を使用しないでください。
属性名 属性値 email user.userprincipalname
ノート:
-
Genesys Cloud のユーザーの電子メール アドレスを参照します。 通常、電子メール アドレスは user.userprincipalname ですが、Azure 管理者が別のユーザー プリンシパル名を持っている場合 (UPN) および電子メールの場合は、user.email を使用します。
たとえば、jsmith@company.com (user.userprinicpalname) として AD にログインしているが、実際の電子メール アドレスが john.smith@company.com である場合は、所有している内容に応じて、user.mail または user.email を使用します。アズール系。 名前空間情報を入力しないでください。 -
ケースは、Genesys Cloudでそのユーザーに設定された電子メールアドレスのケースと一致する必要があります。 Genesys Cloudは、デフォルトで電子メールを小文字にします。
ADが大文字の文字(John.Smith@company.comなど)を使用して電子メールを送信する場合は、電子メールの要求に小文字の変換を追加する必要があります。
組織名 Genesys Cloud組織の短縮名 サービス名 (省略可) 認証が成功した後にリダイレクトされるブラウザの有効な URL、または次のキーワードのいずれか:
- ディレクトリ(Genesys Cloud Collaborateクライアントにリダイレクト)
- directory-admin(Genesys Cloud Admin UIにリダイレクト)
-
- SAML 署名証明書で、 証明書 (ベース 64) をクリックしてダウンロードします。
- 下 Azure 用 Genesys Cloud のセットアップ、注意してください ログインURL、 Azure AD 識別子、 と ログアウト URL. それらを使用して、Genesys Cloud でターゲット URI と発行者 URI を構成します。
ユーザーとグループをGenesys Cloudアプリケーションに割り当てる
GenesysCloudギャラリーアプリケーションまたはカスタムGenesysCloudアプリケーションのいずれかを構成した後、AzureADをIDプロバイダーとして使用してGenesysCloudにログインするユーザーとグループを割り当てます。
- Genesys Cloudカスタムアプリケーションで、 ユーザーとグループ.
- ユーザーを追加するをクリックします。
- 適切なユーザーとグループをクリックします。
- 割り当てますをクリックします。
Genesysクラウドの設定
Genesys Cloud 構成は、Genesys Cloud ギャラリー アプリケーションとカスタム Genesys Cloud アプリケーションの両方に適用されます。
- Genesys Cloudで、管理.
- 「統合」の下で、「」をクリックします。 シングル・サインオン。
- クリック ADFS / Azure AD(プレミアム) タブ。
-
Azure ADから収集したIDプロバイダーのメタデータを入力します。
フィールド 説明 証明書 SAML 署名検証用に X.509 証明書をアップロードするには、次のいずれかを実行します。
- 証明書をアップロードするには、Select Certificates to upload をクリックします。
- X.509証明書を選択します。
- クリック 開いた.
- オプションで、バックアップ証明書をロードするには、手順1〜3を繰り返します。
あるいはできる:
- 証明書ファイルをドラッグ&ドロップします。
- オプションで、バックアップ証明書を読み込むには、最初のステップを繰り返します。
アップロードされた証明書は、有効期限付きで表示されます。 証明書を削除するには、X をクリックします。
メモ:発行者URI _を入力 SAMLエンティティID Azure AD Genesys Cloudカスタムアプリケーションから。
メモ: 発行者URIは、IDだけでなくURLです。 URLは「https://sts.windows.net/1234abcd5678efgh」の形式である必要があります。GUIDはAzureのエンティティIDです。宛先 URI _を入力 SAMLエンティティID Azure AD Genesys Cloudカスタムアプリケーションから。 シングル ログアウト URI _を入力 SAMLエンティティID Azure AD Genesys Cloudカスタムアプリケーションから。 シングル ログアウト バインディング 選ぶ HTTPリダイレクト。 証明書利用者 ID _を入力 SAMLエンティティID Azure AD Genesys Cloudカスタムアプリケーションから。
メモ: SAMLリソースは、Azure AD内のアプリのデフォルトです。 SAML リソースをエンティティ ID として使用することは、ユニークで容易に入手可能であるため、推奨します。 Azure ADインスタンスでSSO統合の複数のインスタンスを実行している場合、Genesys CloudのIDP構成がRelying Party Identifier フィールドに同じ識別子を持つ限り、一意の識別子を使用することができます。 Genesys Cloudはこの値を使用してIDPに自分自身を識別させます。 - 保存するをクリックします。
Azure AD Genesys Cloudカスタムアプリケーションのテスト
Azure AD Genesys クラウド アプリケーションのテストは、Genesys Cloud ギャラリー アプリケーションとカスタム Genesys Cloud アプリケーションの両方に適用されます。
- Microsoft Azure ADのシングルサインオンの詳細ビューで、[次へ]をクリックします。 このアプリケーションをテストする。