Microsoft Entra ID をシングル サインオン プロバイダーとして追加する
- Single Sign-on > Provider > Add, Delete, Edit, View 権限
- 組織の Microsoft Entra ID Premium または無料アカウントの管理者ロール
- ユーザーのメールアドレスは両方で同じですエントラIDおよびGenesys Cloud
- SAML 2.0 をサポートする任意の Microsoft Entra ID Premium バージョン (バージョンに応じて構成が異なります)。
- または、SSOをサポートする無料のMicrosoft Entra IDサブスクリプション
組織のメンバーが Microsoft Entra ID Premium または Free Microsoft Entra ID アカウントの資格情報を使用してアクセスできるアプリケーションとして Genesys Cloud を追加します。
- Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
- 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、SSOのみで認証するようにGenesys Cloudを設定するを参照してください。
サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。
- Genesys Cloud デスクトップ アプリは、ブラウザ拡張機能のインストールをサポートしていません。ブラウザ拡張機能を必要とする Azure 条件付きアクセス ポリシーを構成している場合は、Microsoft Entra ID 拡張機能がインストールされている Genesys Cloud 対応ブラウザを使用する必要があります。この構成では、デスクトップ アプリを使用したシングル サインオンは機能しません。
Microsoft Entra ID を構成する
Genesys Cloudギャラリーアプリケーション(推奨される方法)を構成するか、カスタムGenesysCloudアプリケーションを作成することができます。
- クリックマイクロソフト エントラ ID >企業アプリケーション。
- クリック 新しいアプリ。
- 検索ボックスに「Genesys Cloud for Azure」と入力します。
- アプリケーションをクリックし、名前を追加して、をクリックします 作成。
メモ: Genesys LabsIncによって公開されているものを選択します。
- シングル・サインオンをクリックします。
- SAMLをクリックします。
- 基本 SAML 構成で、編集 をクリックし、返信 URL フィールドに適切な Genesys Cloud SAML ログイン URL を入力し、ログアウト URL フィールドにログアウト URL を入力します。
の 識別子 (EntityID)は、Azureインスタンスに固有の任意の値にすることができます。 表には、返信URL とログアウトURL のうち、あなたのGenesys Cloud組織、AWSリージョンに基づくものが表示されます:
AWSリージョン 返信URL
ログアウトURL
米国東部(N. ヴァージニア州 https://login.mypurecloud.com/saml
https://login.mypurecloud.com/saml/logout
US East 2(オハイオ) https://login.use2.us-gov-pure.cloud/saml
https://login.use2.us-gov-pure.cloud/saml/logout
米国西部(オレゴン) https://login.usw2.pure.cloud/saml
https://login.usw2.pure.cloud/saml/logout
カナダ(Canada Central) https://login.cac1.pure.cloud/saml
https://login.cac1.pure.cloud/saml/logout
南米(サンパウロ) https://login.sae1.pure.cloud/saml
https://login.sae1.pure.cloud/saml/logout
EMEA (フランクフルト) https://login.mypurecloud.de/saml
https://login.mypurecloud.de/saml/logout
EMEA (アイルランド) https://login.mypurecloud.ie/saml
https://login.mypurecloud.ie/saml/logout
EMEA (ロンドン) https://login.euw2.pure.cloud/saml
https://login.euw2.pure.cloud/saml/logout
EMEA(アラブ首長国連邦) https://login.mec1.pure.cloud/saml
https://login.mec1.pure.cloud/saml/logout
EMEA(チューリッヒ)
https://login.euc2.pure.cloud/saml
https://login.euc2.pure.cloud/saml/logout
中東(UAE) https://login.mec1.pure.cloud/saml
https://login.mec1.pure.cloud/logout
アジア太平洋 (ムンバイ) https://login.aps1.pure.cloud/saml
https://login.aps1.pure.cloud/saml/logout
アジア・パシフィック(大阪) https://login.apne3.pure.cloud/saml
https://login.apne3.pure.cloud/saml/logout
アジア太平洋 (ソウル) https://login.apne2.pure.cloud/saml
https://login.apne2.pure.cloud/saml/logout
アジア太平洋 (シドニー) https://login.mypurecloud.com.au/saml
https://login.mypurecloud.com.au/saml/logout
アジア太平洋 (東京) https://login.mypurecloud.jp/saml
https://login.mypurecloud.jp/saml/logout
- [ユーザー属性と要求]で、[]をクリックします。 編集する これらの属性名を入力します。 カスタムクレームを追加するには、ドロップダウンリストの上にある[ソース属性]フィールドにカスタム属性名を入力します。
メモ: 属性名では大文字と小文字が区別されます。 表に表示されているとおりに入力します。 クレームで名前空間を使用しないでください。
属性名 属性値 Eメール user.userprincipalname
ノート:
- 電子メールクレームの場合、emailという名前の新しいクレームを作成します。
- Genesys Cloud のユーザーの電子メール アドレスを参照します。 通常、電子メール アドレスは user.userprincipalname です。 しかし Azure 管理者が別のユーザー プリンシパル名を持っている場合 (UPN) および電子メール、user.email を使用 (または user.mail として)。
- ケースは、Genesys Cloudでそのユーザーに設定された電子メールアドレスのケースと一致する必要があります。
Genesys Cloudは、電子メールアドレスを小文字に変更します。 ADが大文字の文字(John.Smith@company.comなど)を使用して電子メールを送信する場合は、電子メールの要求に小文字の変換を追加する必要があります。
-
- [クレームの管理]で、[ 変身。
- [変換の管理]で、[変換]を[ToLOWERCASE()]に設定します。
- パラメータをuser.mailに設定します。
- name クレームは email クレームとも一致する必要があります。
たとえば、AD に jsmith@company.com (user.userprinicpalname) としてログインしているが、Genesys Cloud の実際の電子メール アドレスが john.smith@company.com である場合、user.userprincipalname は使用できません。 Azure システムにあるものに応じて、user.mail または user.email を使用します。 名前空間情報を入力しないでください。
組織名 Genesys Cloud組織の短縮名 サービス名 有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:
- directory (Genesys Cloud Collaborateクライアントにリダイレクト)
- directory-admin(Genesys Cloud Admin UIにリダイレクト)
- 電子メールクレームの場合、emailという名前の新しいクレームを作成します。
- SAML 署名証明書で、 証明書 (ベース 64) をクリックしてダウンロードします。
- 下 Azure 用 Genesys Cloud のセットアップ、注意してください ログインURL、 Azure AD 識別子、 と ログアウト URL. それらを使用して、Genesys Cloud でターゲット URI と発行者 URI を構成します。
- クリックマイクロソフト エントラ ID >企業アプリケーション。
- クリック 新しいアプリ。
- [アプリケーションの追加]で、[]をクリックします。 非ギャラリーアプリケーション
- [名前] フィールドに「Genesys Cloud」と入力します。
- シングル・サインオンをクリックします。
- SAMLをクリックします。
- 基本 SAML 構成で、編集 をクリックし、返信 URL フィールドに適切な Genesys Cloud SAML ログイン URL を入力し、ログアウト URL フィールドにログアウト URL を入力します。
の 識別子 (EntityID)は、Azureインスタンスに固有の任意の値にすることができます。 表には、返信URL とログアウトURL のうち、あなたのGenesys Cloud組織、AWSリージョンに基づくものが表示されます:
AWSリージョン 返信URL
ログアウトURL
米国東部(N. ヴァージニア州 https://login.mypurecloud.com/saml
https://login.mypurecloud.com/saml/logout
US East 2(オハイオ) https://login.use2.us-gov-pure.cloud/saml
https://login.use2.us-gov-pure.cloud/saml/logout
米国西部(オレゴン) https://login.usw2.pure.cloud/saml
https://login.usw2.pure.cloud/saml/logout
カナダ(Canada Central) https://login.cac1.pure.cloud/saml
https://login.cac1.pure.cloud/saml/logout
南米(サンパウロ) https://login.sae1.pure.cloud/saml
https://login.sae1.pure.cloud/saml/logout
EU(フランクフルト) https://login.mypurecloud.de/saml
https://login.mypurecloud.de/saml/logout
EU (アイルランド) https://login.mypurecloud.ie/saml
https://login.mypurecloud.ie/saml/logout
EU(ロンドン) https://login.euw2.pure.cloud/saml
https://login.euw2.pure.cloud/saml/logout
アジア太平洋 (ムンバイ) https://login.aps1.pure.cloud/saml
https://login.aps1.pure.cloud/saml/logout
アジア太平洋 (ソウル) https://login.apne2.pure.cloud/saml
https://login.apne2.pure.cloud/saml/logout
アジア太平洋 (シドニー) https://login.mypurecloud.com.au/saml
https://login.mypurecloud.com.au/saml/logout
アジア太平洋 (東京) https://login.mypurecloud.jp/saml
https://login.mypurecloud.jp/saml/logout
- [ユーザー属性と要求]で、[]をクリックします。 編集する これらの属性名を入力します。 カスタムクレームを追加するには、ドロップダウンリストの上にある[ソース属性]フィールドにカスタム属性名を入力します。
メモ: 属性名では大文字と小文字が区別されます。 表に表示されているとおりに入力します。 クレームで名前空間を使用しないでください。
属性名 属性値 Eメール user.userprincipalname
ノート:
-
Genesys Cloud のユーザーの電子メール アドレスを参照します。 通常、電子メール アドレスは user.userprincipalname ですが、Azure 管理者が別のユーザー プリンシパル名を持っている場合 (UPN) および電子メールの場合は、user.email を使用します。
たとえば、jsmith@company.com (user.userprinicpalname) として AD にログインしているが、実際の電子メール アドレスが john.smith@company.com である場合は、所有している内容に応じて、user.mail または user.email を使用します。アズール系。 名前空間情報を入力しないでください。 -
ケースは、Genesys Cloudでそのユーザーに設定された電子メールアドレスのケースと一致する必要があります。 Genesys Cloudは、デフォルトで電子メールを小文字にします。
ADが大文字の文字(John.Smith@company.comなど)を使用して電子メールを送信する場合は、電子メールの要求に小文字の変換を追加する必要があります。
組織名 Genesys Cloud組織の短縮名 サービス名 (省略可) 認証が成功した後にリダイレクトされるブラウザの有効な URL、または次のキーワードのいずれか:
- directory (Genesys Cloud Collaborateクライアントにリダイレクト)
- directory-admin(Genesys Cloud Admin UIにリダイレクト)
-
- SAML 署名証明書で、 証明書 (ベース 64) をクリックしてダウンロードします。
- 下 Azure 用 Genesys Cloud のセットアップ、注意してください ログインURL、 Azure AD 識別子、 と ログアウト URL. それらを使用して、Genesys Cloud でターゲット URI と発行者 URI を構成します。
ユーザーとグループをGenesys Cloudアプリケーションに割り当てる
Genesys Cloud ギャラリーまたはカスタム Genesys Cloud アプリケーションのいずれかを設定した後、Microsoft Entra ID を ID プロバイダーとして使用して Genesys Cloud にログインするユーザーとグループを割り当てます。
- Genesys Cloudカスタムアプリケーションで、 ユーザーとグループ.
- ユーザーを追加するをクリックします。
- 適切なユーザーとグループをクリックします。
- 割り当てますをクリックします。
Genesysクラウドの設定
Genesys Cloud 構成は、Genesys Cloud ギャラリー アプリケーションとカスタム Genesys Cloud アプリケーションの両方に適用されます。
- Genesys Cloudで、管理.
- 統合で、シングル・サインオンをクリックします。
- クリックADFS/Microsoft Entra ID (プレミアム)タブ。
-
Microsoft Entra ID から収集された ID プロバイダー メタデータを入力します。
フィールド 説明 証明書 SAML 署名検証用に X.509 証明書をアップロードするには、次のいずれかを実行します。
- 証明書をアップロードするには、Select Certificates to upload をクリックします。
- X.509証明書を選択します。
- 開くをクリックします。
- オプションで、バックアップ証明書をロードするには、手順1〜3を繰り返します。
もしくは次のようにできます:
- 証明書ファイルをドラッグ&ドロップします。
- オプションで、バックアップ証明書を読み込むには、最初のステップを繰り返します。
アップロードされた証明書は、有効期限付きで表示されます。 証明書を削除するには、X をクリックします。
メモ:発行者URI 入力してくださいAzure AD 識別子Microsoft Entra ID Genesys Cloud カスタム アプリケーションから。
メモ: 発行者URIは、IDだけでなくURLです。 URLは「https://sts.windows.net/1234abcd5678efgh」の形式である必要があります。GUIDはAzureのエンティティIDです。宛先 URI 入力してくださいログインURLからMicrosoft Entra ID Genesys Cloudカスタムアプリケーション。 シングル ログアウト URI 入力してくださいログアウトURL Microsoft Entra ID Genesys Cloud カスタム アプリケーションから。 シングル ログアウト バインディング 選ぶ HTTPリダイレクト。 証明書利用者 ID 入力してください識別子(エンティティID) Microsoft Entra IDからGenesys Cloudカスタムアプリケーション。
注記:SAML リソースは、Microsoft Entra ID 内のアプリのデフォルトです。SAML リソースをエンティティ ID として使用することは、ユニークで容易に入手可能であるため、推奨します。Microsoft Entra IDインスタンスでSSO統合の複数のインスタンスを実行している場合は、Genesys CloudのIDP構成に同じ識別子がある限り、一意の識別子を使用できます。証明書利用者識別子分野。Genesys Cloudはこの値を使用してIDPに自分自身を識別させます。証明書利用者識別子は、Genesys Cloud を ID プロバイダーに対して一意に識別できる限り、任意の値にすることができます。 - 保存するをクリックします。
Microsoft Entra ID Genesys Cloud アプリケーションをテストする
Microsoft Entra ID Genesys クラウド アプリケーション テストは、Genesys Cloud ギャラリー アプリケーションとカスタム Genesys Cloud アプリケーションの両方に適用されます。
- Microsoft Entra IDのシングルサインオン詳細ビューで、このアプリケーションをテストする。