シングルサインオンプロバイダーとしてMicrosoft Azure AD Premiumを追加する

前提条件:
  • シングル・サインオン > プロバイダー > 追加、削除、編集、表示権限
  • 組織のAzure AD Premiumアカウントにおける管理者の役割
  • ユーザーの電子メールアドレスは両方とも同じです Azure ADプレミアム およびGenesys Cloud
  • SAML 2.0 をサポートする Microsoft Azure AD Premium バージョン (バージョンによって構成が異なります)。
  • または、SSO をサポートする無料の Azure AD サブスクリプション

Genesys Cloudをアプリケーションとして追加し、組織メンバーがMicrosoft Azure AD Premiumアカウントの認証情報を使用してアクセスできるようにします。

メモ: 
  • Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
  • 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、以下を参照してください。 SSOのみで認証するようにGenesys Cloudを設定する.
  • 管理者は、ビジネス継続性を確保するために、追加の証明書を1つ保存するように選択できます。 1つの証明書が無効または期限切れになった場合、バックアップ証明書は統合を保持します。
  • サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。

Microsoft ADFSを設定する

Genesys Cloudギャラリーアプリケーション(推奨される方法)を構成するか、カスタムGenesysCloudアプリケーションを作成することができます。

  1. クリック Azure Active ディレクトリ > 企業 アプリケーション
  2. クリック 新しいアプリ
  3. 検索ボックスに「Genesys Cloud for Azure」と入力します。
  4. アプリケーションをクリックし、名前を追加して、をクリックします 作成

    メモ:   Genesys LabsIncによって公開されているものを選択します。

  5. シングル・サインオンをクリックします。
  6. SAMLをクリックします。
  7. [基本 SAML 設定] で、 編集 適切なGenesys Cloud SAMLログインURLを 返信URL フィールド。
    の 識別子 (EntityID)は、Azureインスタンスに固有の任意の値にすることができます。 The 返信URLログアウトURLGenesysCloud組織 AWSリージョンに基づく:
    AWSリージョン

    返信URL

    ログアウトURL

    米国東部(N. ヴァージニア州

    https://login.mypurecloud.com/saml

    https://login.mypurecloud.com/saml

    US East 2(オハイオ)

    https://login.use2.us-gov-pure.cloud/saml

    https://login.use2.us-gov-pure.cloud/saml/logout

    米国西部(オレゴン)

    https ://login.usw2.pure.cloud/saml 

    https ://login.usw2.pure.cloud/saml

    カナダ(Canada Central)

    https ://login.usw2.pure.cloud/saml 

    https ://login.usw2.pure.cloud/saml

    南米(サンパウロ)

    https://login.sae1.pure.cloud/saml 

    https://login.sae1.pure.cloud/saml/logout

    EU(フランクフルト)

    https://login.mypurecloud.ie/saml

    https://login.mypurecloud.ie/saml

    EU (アイルランド)

    https://login.mypurecloud.ie/saml 

    https://login.mypurecloud.ie/saml

    EU(ロンドン)

    https ://login.usw2.pure.cloud/saml

    https ://login.usw2.pure.cloud/saml

    アジア太平洋 (ムンバイ)

    https ://login.usw2.pure.cloud/saml

    https ://login.usw2.pure.cloud/saml

    アジア太平洋 (ソウル)

    https ://login.usw2.pure.cloud/saml

    https ://login.usw2.pure.cloud/saml

    アジア太平洋 (シドニー)

    https://login.mypurecloud.com.au/saml

    https://login.mypurecloud.com.au/saml

    アジア太平洋 (東京) https://login.mypurecloud.jp/saml https://login.mypurecloud.jp/saml
  8. [ユーザー属性と要求]で、[]をクリックします。 編集する これらの属性名を入力します。 カスタムクレームを追加するには、ドロップダウンリストの上にある[ソース属性]フィールドにカスタム属性名を入力します。
     メモ:   属性名では大文字と小文字が区別されます。  表に表示されているとおりに入力します。 クレームで名前空間を使用しないでください。

    属性名 属性値
    email 

    user.userprincipalname

    ノート: 

    • 電子メールクレームの場合、emailという名前の新しいクレームを作成します。

    • Genesys Cloud のユーザーの電子メール アドレスを参照します。 通常、電子メール アドレスは user.userprincipalname です。 しかし Azure 管理者が別のユーザー プリンシパル名を持っている場合 (UPN) および電子メール、user.email を使用 (または user.mail として)。

    • ケースは、Genesys Cloudでそのユーザーに設定された電子メールアドレスのケースと一致する必要があります。

      Genesys Cloudは、電子メールアドレスを小文字に変更します。 ADが大文字の文字(John.Smith@company.comなど)を使用して電子メールを送信する場合は、電子メールの要求に小文字の変換を追加する必要があります。 

      1. [クレームの管理]で、[ 変身
      2. [変換の管理]で、[変換]を[ToLOWERCASE()]に設定します。
      3. パラメータをuser.mailに設定します。

    • name クレームは email クレームとも一致する必要があります。

      たとえば、AD に jsmith@company.com (user.userprinicpalname) としてログインしているが、Genesys Cloud の実際の電子メール アドレスが john.smith@company.com である場合、user.userprincipalname は使用できません。 Azure システムにあるものに応じて、user.mail または user.email を使用します。 名前空間情報を入力しないでください。
      組織名  Genesys Cloud組織の短縮名
      サービス名

      有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:

      • ディレクトリ(Genesys Cloud Collaborateクライアントにリダイレクト)
      • directory-admin(Genesys Cloud Admin UIにリダイレクト)
    • SAML 署名証明書で、 証明書 (ベース 64) をクリックしてダウンロードします。
    • Azure 用 Genesys Cloud のセットアップ、注意してください ログインURLAzure AD 識別子、 と ログアウト URL. それらを使用して、Genesys Cloud でターゲット URI と発行者 URI を構成します。

    1. クリック Azure Active ディレクトリ > 企業 アプリケーション
    2. クリック 新しいアプリ
    3. [アプリケーションの追加]で、[]をクリックします。 非ギャラリーアプリケーション
    4. [名前] フィールドに「Genesys Cloud」と入力します。
    5. シングル・サインオンをクリックします。
    6. SAMLをクリックします。
    7. [基本 SAML 設定] で、 編集 適切なGenesys Cloud SAMLログインURLを 返信URL フィールド。
      の 識別子 (EntityID)は、Azureインスタンスに固有の任意の値にすることができます。 The 返信URLログアウトURLGenesysCloud組織 AWSリージョンに基づく:
      AWSリージョン

      返信URL

      ログアウトURL

      米国東部(N. ヴァージニア州

      https://login.mypurecloud.com/saml

      https://login.mypurecloud.com/saml

      US East 2(オハイオ)

      https://login.use2.us-gov-pure.cloud/saml

      https://login.use2.us-gov-pure.cloud/saml/logout

      米国西部(オレゴン)

      https ://login.usw2.pure.cloud/saml 

      https ://login.usw2.pure.cloud/saml

      カナダ(Canada Central)

      https ://login.usw2.pure.cloud/saml 

      https ://login.usw2.pure.cloud/saml

      南米(サンパウロ)

      https://login.sae1.pure.cloud/saml 

      https://login.sae1.pure.cloud/saml/logout

      EU(フランクフルト)

      https://login.mypurecloud.ie/saml

      https://login.mypurecloud.ie/saml

      EU (アイルランド)

      https://login.mypurecloud.ie/saml 

      https://login.mypurecloud.ie/saml

      EU(ロンドン)

      https ://login.usw2.pure.cloud/saml

      https ://login.usw2.pure.cloud/saml

      アジア太平洋 (ムンバイ)

      https ://login.usw2.pure.cloud/saml

      https ://login.usw2.pure.cloud/saml

      アジア太平洋 (ソウル)

      https ://login.usw2.pure.cloud/saml

      https ://login.usw2.pure.cloud/saml

      アジア太平洋 (シドニー)

      https://login.mypurecloud.com.au/saml

      https://login.mypurecloud.com.au/saml

      アジア太平洋 (東京) https://login.mypurecloud.jp/saml https://login.mypurecloud.jp/saml
    8. [ユーザー属性と要求]で、[]をクリックします。 編集する これらの属性名を入力します。 カスタムクレームを追加するには、ドロップダウンリストの上にある[ソース属性]フィールドにカスタム属性名を入力します。
      メモ:   属性名では大文字と小文字が区別されます。 表に表示されているとおりに入力します。 クレームで名前空間を使用しないでください。

      属性名 属性値
      email 

      user.userprincipalname

      ノート: 

      • Genesys Cloud のユーザーの電子メール アドレスを参照します。 通常、電子メール アドレスは user.userprincipalname ですが、Azure 管理者が別のユーザー プリンシパル名を持っている場合 (UPN) および電子メールの場合は、user.email を使用します。

        たとえば、jsmith@company.com (user.userprinicpalname) として AD にログインしているが、実際の電子メール アドレスが john.smith@company.com である場合は、所有している内容に応じて、user.mail または user.email を使用します。アズール系。 名前空間情報を入力しないでください。

      • ケースは、Genesys Cloudでそのユーザーに設定された電子メールアドレスのケースと一致する必要があります。 Genesys Cloudは、デフォルトで電子メールを小文字にします。

        ADが大文字の文字(John.Smith@company.comなど)を使用して電子メールを送信する場合は、電子メールの要求に小文字の変換を追加する必要があります。 

      組織名  Genesys Cloud組織の短縮名
      サービス名

      (省略可) 認証が成功した後にリダイレクトされるブラウザの有効な URL、または次のキーワードのいずれか:

      • ディレクトリ(Genesys Cloud Collaborateクライアントにリダイレクト)
      • directory-admin(Genesys Cloud Admin UIにリダイレクト)
    9. SAML 署名証明書で、 証明書 (ベース 64) をクリックしてダウンロードします。
    10. Azure 用 Genesys Cloud のセットアップ、注意してください ログインURLAzure AD 識別子、 と ログアウト URL. それらを使用して、Genesys Cloud でターゲット URI と発行者 URI を構成します。

    ユーザーとグループをGenesys Cloudアプリケーションに割り当てる

    GenesysCloudギャラリーアプリケーションまたはカスタムGenesysCloudアプリケーションのいずれかを構成した後、AzureADをIDプロバイダーとして使用してGenesysCloudにログインするユーザーとグループを割り当てます。

    1. Genesys Cloudカスタムアプリケーションで、 ユーザーとグループ.
    2. ユーザーを追加するをクリックします。
    3. 適切なユーザーとグループをクリックします。
    4. 割り当てますをクリックします。

    Genesysクラウドの設定

    Genesys Cloud 構成は、Genesys Cloud ギャラリー アプリケーションとカスタム Genesys Cloud アプリケーションの両方に適用されます。

    1. Genesys Cloudで、管理.
    2. 「統合」の下で、「」をクリックします。 シングル・サインオン。
    3. クリック ADFS / Azure AD(プレミアム) タブ。
    4. Azure ADから収集したIDプロバイダーのメタデータを入力します。

      フィールド    説明
      証明書

      1. クリック ブラウズ。
      2. 保存した証明書を選択してをクリックします 開いた
      3. クリック 追加 . 
      4. オプションで、バックアップ証明書をロードするには、手順1〜3を繰り返します。 

      発行者URI

      _を入力 SAMLエンティティID Azure AD Genesys Cloudカスタムアプリケーションから。

      メモ:   発行者URIは、IDだけでなくURLです。 URLは「https://sts.windows.net/1234abcd5678efgh」の形式である必要があります。GUIDはAzureのエンティティIDです。
      宛先 URI _を入力 SAMLエンティティID Azure AD Genesys Cloudカスタムアプリケーションから。 
      シングル ログアウト URI _を入力 SAMLエンティティID Azure AD Genesys Cloudカスタムアプリケーションから。
      シングル ログアウト バインディング 選ぶ HTTPリダイレクト
      証明書利用者 ID

      _を入力 SAMLエンティティID Azure AD Genesys Cloudカスタムアプリケーションから。


      注意: SAMLリソースは、Azure AD内のアプリのデフォルトです。 SAMLリソースをエンティティIDとして使用することを推奨する。これは、ユニークで容易に利用できるためである。 Azure ADインスタンスでSSO統合の複数のインスタンスを実行している場合、Genesys CloudのIDP構成がRelying Party Identifier フィールドに同じ識別子を持つ限り、一意の識別子を使用することができます。 Genesys Cloudはこの値を使用してIDPに自分自身を識別させます。

    5.  保存するをクリックします。

    Azure AD Genesys Cloudカスタムアプリケーションのテスト

    Azure AD Genesys クラウド アプリケーションのテストは、Genesys Cloud ギャラリー アプリケーションとカスタム Genesys Cloud アプリケーションの両方に適用されます。

    • Microsoft Azure ADのシングルサインオンの詳細ビューで、[次へ]をクリックします。 このアプリケーションをテストする