Microsoft Entra ID をシングル サインオン プロバイダーとして追加する

前提条件:
  • Single Sign-on > Provider > Add, Delete, Edit, View 権限
  • 組織の Microsoft Entra ID Premium または無料アカウントの管理者ロール
  • ユーザーのメールアドレスは両方で同じですエントラIDおよびGenesys Cloud
  • SAML 2.0 をサポートする任意の Microsoft Entra ID Premium バージョン (バージョンに応じて構成が異なります)。
  • または、SSOをサポートする無料のMicrosoft Entra IDサブスクリプション

組織のメンバーが Microsoft Entra ID Premium または Free Microsoft Entra ID アカウントの資格情報を使用してアクセスできるアプリケーションとして Genesys Cloud を追加します。

メモ: 
  • Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
  • 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、SSOのみで認証するようにGenesys Cloudを設定するを参照してください。
  •  

  • サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。

  • Genesys Cloud デスクトップ アプリは、ブラウザ拡張機能のインストールをサポートしていません。ブラウザ拡張機能を必要とする Azure 条件付きアクセス ポリシーを構成している場合は、Microsoft Entra ID 拡張機能がインストールされている Genesys Cloud 対応ブラウザを使用する必要があります。この構成では、デスクトップ アプリを使用したシングル サインオンは機能しません。

Microsoft Entra ID を構成する

Genesys Cloudギャラリーアプリケーション(推奨される方法)を構成するか、カスタムGenesysCloudアプリケーションを作成することができます。

  1. クリックマイクロソフト エントラ ID >企業アプリケーション
  2. クリック 新しいアプリ
  3. 検索ボックスに「Genesys Cloud for Azure」と入力します。
  4. アプリケーションをクリックし、名前を追加して、をクリックします 作成

    メモ:   Genesys LabsIncによって公開されているものを選択します。

  5. シングル・サインオンをクリックします。
  6. SAMLをクリックします。
  7. 基本 SAML 構成で、編集 をクリックし、返信 URL フィールドに適切な Genesys Cloud SAML ログイン URL を入力し、ログアウト URL フィールドにログアウト URL を入力します。
    の 識別子 (EntityID)は、Azureインスタンスに固有の任意の値にすることができます。 表には、返信URLログアウトURL のうち、あなたのGenesys Cloud組織、AWSリージョンに基づくものが表示されます:
    AWSリージョン

    返信URL

    ログアウトURL
    米国東部(N. ヴァージニア州

    https://login.mypurecloud.com/saml

    https://login.mypurecloud.com/saml/logout
    US East 2(オハイオ)

    https://login.use2.us-gov-pure.cloud/saml

    https://login.use2.us-gov-pure.cloud/saml/logout
    米国西部(オレゴン)

    https://login.usw2.pure.cloud/saml 

    https://login.usw2.pure.cloud/saml/logout
    カナダ(Canada Central)

    https://login.cac1.pure.cloud/saml 

    https://login.cac1.pure.cloud/saml/logout
    南米(サンパウロ)

    https://login.sae1.pure.cloud/saml 

    https://login.sae1.pure.cloud/saml/logout
    EMEA (フランクフルト)

    https://login.mypurecloud.de/saml

    https://login.mypurecloud.de/saml/logout
    EMEA (アイルランド)

    https://login.mypurecloud.ie/saml 

    https://login.mypurecloud.ie/saml/logout
    EMEA (ロンドン)

    https://login.euw2.pure.cloud/saml

    https://login.euw2.pure.cloud/saml/logout
    EMEA(アラブ首長国連邦)

    https://login.mec1.pure.cloud/saml

    https://login.mec1.pure.cloud/saml/logout
    EMEA(チューリッヒ)

    https://login.euc2.pure.cloud/saml

    https://login.euc2.pure.cloud/saml/logout
    中東(UAE)

    https://login.mec1.pure.cloud/saml

    https://login.mec1.pure.cloud/logout
    アジア太平洋 (ムンバイ)

    https://login.aps1.pure.cloud/saml

    https://login.aps1.pure.cloud/saml/logout
    アジア・パシフィック(大阪)

    https://login.apne3.pure.cloud/saml

    https://login.apne3.pure.cloud/saml/logout
    アジア太平洋 (ソウル)

    https://login.apne2.pure.cloud/saml

    https://login.apne2.pure.cloud/saml/logout
    アジア太平洋 (シドニー)

    https://login.mypurecloud.com.au/saml

    https://login.mypurecloud.com.au/saml/logout
    アジア太平洋 (東京) https://login.mypurecloud.jp/saml https://login.mypurecloud.jp/saml/logout
  8. [ユーザー属性と要求]で、[]をクリックします。 編集する これらの属性名を入力します。 カスタムクレームを追加するには、ドロップダウンリストの上にある[ソース属性]フィールドにカスタム属性名を入力します。
     メモ:   属性名では大文字と小文字が区別されます。  表に表示されているとおりに入力します。 クレームで名前空間を使用しないでください。

    属性名 属性値
    Eメール

    user.userprincipalname

    ノート: 

    • 電子メールクレームの場合、emailという名前の新しいクレームを作成します。

    • Genesys Cloud のユーザーの電子メール アドレスを参照します。 通常、電子メール アドレスは user.userprincipalname です。 しかし Azure 管理者が別のユーザー プリンシパル名を持っている場合 (UPN) および電子メール、user.email を使用 (または user.mail として)。

    • ケースは、Genesys Cloudでそのユーザーに設定された電子メールアドレスのケースと一致する必要があります。

      Genesys Cloudは、電子メールアドレスを小文字に変更します。 ADが大文字の文字(John.Smith@company.comなど)を使用して電子メールを送信する場合は、電子メールの要求に小文字の変換を追加する必要があります。 

      1. [クレームの管理]で、[ 変身
      2. [変換の管理]で、[変換]を[ToLOWERCASE()]に設定します。
      3. パラメータをuser.mailに設定します。

    • name クレームは email クレームとも一致する必要があります。

      たとえば、AD に jsmith@company.com (user.userprinicpalname) としてログインしているが、Genesys Cloud の実際の電子メール アドレスが john.smith@company.com である場合、user.userprincipalname は使用できません。 Azure システムにあるものに応じて、user.mail または user.email を使用します。 名前空間情報を入力しないでください。
      組織名  Genesys Cloud組織の短縮名
      サービス名

      有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:

      • directory (Genesys Cloud Collaborateクライアントにリダイレクト)
      • directory-admin(Genesys Cloud Admin UIにリダイレクト)
    • SAML 署名証明書で、 証明書 (ベース 64) をクリックしてダウンロードします。
    • Azure 用 Genesys Cloud のセットアップ、注意してください ログインURLAzure AD 識別子、 と ログアウト URL. それらを使用して、Genesys Cloud でターゲット URI と発行者 URI を構成します。

    1. クリックマイクロソフト エントラ ID >企業アプリケーション
    2. クリック 新しいアプリ
    3. [アプリケーションの追加]で、[]をクリックします。 非ギャラリーアプリケーション
    4. [名前] フィールドに「Genesys Cloud」と入力します。
    5. シングル・サインオンをクリックします。
    6. SAMLをクリックします。
    7. 基本 SAML 構成で、編集 をクリックし、返信 URL フィールドに適切な Genesys Cloud SAML ログイン URL を入力し、ログアウト URL フィールドにログアウト URL を入力します。
      の 識別子 (EntityID)は、Azureインスタンスに固有の任意の値にすることができます。 表には、返信URLログアウトURL のうち、あなたのGenesys Cloud組織、AWSリージョンに基づくものが表示されます:
      AWSリージョン

      返信URL

      ログアウトURL
      米国東部(N. ヴァージニア州

      https://login.mypurecloud.com/saml

      https://login.mypurecloud.com/saml/logout
      US East 2(オハイオ)

      https://login.use2.us-gov-pure.cloud/saml

      https://login.use2.us-gov-pure.cloud/saml/logout
      米国西部(オレゴン)

      https://login.usw2.pure.cloud/saml 

      https://login.usw2.pure.cloud/saml/logout
      カナダ(Canada Central)

      https://login.cac1.pure.cloud/saml 

      https://login.cac1.pure.cloud/saml/logout
      南米(サンパウロ)

      https://login.sae1.pure.cloud/saml 

      https://login.sae1.pure.cloud/saml/logout
      EU(フランクフルト)

      https://login.mypurecloud.de/saml

      https://login.mypurecloud.de/saml/logout
      EU (アイルランド)

      https://login.mypurecloud.ie/saml 

      https://login.mypurecloud.ie/saml/logout
      EU(ロンドン)

      https://login.euw2.pure.cloud/saml

      https://login.euw2.pure.cloud/saml/logout
      アジア太平洋 (ムンバイ)

      https://login.aps1.pure.cloud/saml

      https://login.aps1.pure.cloud/saml/logout
      アジア太平洋 (ソウル)

      https://login.apne2.pure.cloud/saml

      https://login.apne2.pure.cloud/saml/logout
      アジア太平洋 (シドニー)

      https://login.mypurecloud.com.au/saml

      https://login.mypurecloud.com.au/saml/logout
      アジア太平洋 (東京) https://login.mypurecloud.jp/saml https://login.mypurecloud.jp/saml/logout
    8. [ユーザー属性と要求]で、[]をクリックします。 編集する これらの属性名を入力します。 カスタムクレームを追加するには、ドロップダウンリストの上にある[ソース属性]フィールドにカスタム属性名を入力します。
      メモ:   属性名では大文字と小文字が区別されます。 表に表示されているとおりに入力します。 クレームで名前空間を使用しないでください。

      属性名 属性値
      Eメール

      user.userprincipalname

      ノート: 

      • Genesys Cloud のユーザーの電子メール アドレスを参照します。 通常、電子メール アドレスは user.userprincipalname ですが、Azure 管理者が別のユーザー プリンシパル名を持っている場合 (UPN) および電子メールの場合は、user.email を使用します。

        たとえば、jsmith@company.com (user.userprinicpalname) として AD にログインしているが、実際の電子メール アドレスが john.smith@company.com である場合は、所有している内容に応じて、user.mail または user.email を使用します。アズール系。 名前空間情報を入力しないでください。

      • ケースは、Genesys Cloudでそのユーザーに設定された電子メールアドレスのケースと一致する必要があります。 Genesys Cloudは、デフォルトで電子メールを小文字にします。

        ADが大文字の文字(John.Smith@company.comなど)を使用して電子メールを送信する場合は、電子メールの要求に小文字の変換を追加する必要があります。 
      組織名  Genesys Cloud組織の短縮名
      サービス名

      (省略可) 認証が成功した後にリダイレクトされるブラウザの有効な URL、または次のキーワードのいずれか:

      • directory (Genesys Cloud Collaborateクライアントにリダイレクト)
      • directory-admin(Genesys Cloud Admin UIにリダイレクト)
    9. SAML 署名証明書で、 証明書 (ベース 64) をクリックしてダウンロードします。
    10. Azure 用 Genesys Cloud のセットアップ、注意してください ログインURLAzure AD 識別子、 と ログアウト URL. それらを使用して、Genesys Cloud でターゲット URI と発行者 URI を構成します。

    ユーザーとグループをGenesys Cloudアプリケーションに割り当てる

    Genesys Cloud ギャラリーまたはカスタム Genesys Cloud アプリケーションのいずれかを設定した後、Microsoft Entra ID を ID プロバイダーとして使用して Genesys Cloud にログインするユーザーとグループを割り当てます。

    1. Genesys Cloudカスタムアプリケーションで、 ユーザーとグループ.
    2. ユーザーを追加するをクリックします。
    3. 適切なユーザーとグループをクリックします。
    4. 割り当てますをクリックします。

    Genesysクラウドの設定

    Genesys Cloud 構成は、Genesys Cloud ギャラリー アプリケーションとカスタム Genesys Cloud アプリケーションの両方に適用されます。

    1. Genesys Cloudで、管理.
    2. 統合で、シングル・サインオンをクリックします。
    3. クリックADFS/Microsoft Entra ID (プレミアム)タブ。

    4. Microsoft Entra ID から収集された ID プロバイダー メタデータを入力します。

      フィールド 説明
      証明書

      SAML 署名検証用に X.509 証明書をアップロードするには、次のいずれかを実行します。

      1. 証明書をアップロードするには、Select Certificates to upload をクリックします。
      2. X.509証明書を選択します。
      3. 開くをクリックします。
      4. オプションで、バックアップ証明書をロードするには、手順1〜3を繰り返します。

      もしくは次のようにできます:

      1. 証明書ファイルをドラッグ&ドロップします。
      2. オプションで、バックアップ証明書を読み込むには、最初のステップを繰り返します。

      アップロードされた証明書は、有効期限付きで表示されます。 証明書を削除するには、X をクリックします。

       メモ:  

      発行者URI

      入力してくださいAzure AD 識別子Microsoft Entra ID Genesys Cloud カスタム アプリケーションから。

      メモ:   発行者URIは、IDだけでなくURLです。 URLは「https://sts.windows.net/1234abcd5678efgh」の形式である必要があります。GUIDはAzureのエンティティIDです。
      宛先 URI 入力してくださいログインURLからMicrosoft Entra ID Genesys Cloudカスタムアプリケーション。 
      シングル ログアウト URI 入力してくださいログアウトURL Microsoft Entra ID Genesys Cloud カスタム アプリケーションから。
      シングル ログアウト バインディング 選ぶ HTTPリダイレクト
      証明書利用者 ID

      入力してください識別子(エンティティID) Microsoft Entra IDからGenesys Cloudカスタムアプリケーション


       メモ:   SAML リソースは、Microsoft Entra ID 内のアプリのデフォルトです。SAML リソースをエンティティ ID として使用することは、ユニークで容易に入手可能であるため、推奨します。Microsoft Entra IDインスタンスでSSO統合の複数のインスタンスを実行している場合は、Genesys CloudのIDP構成に同じ識別子がある限り、一意の識別子を使用できます。証明書利用者識別子分野。Genesys Cloud はこの値を使用して、IDP に対して自身を識別します。
    5. 保存するをクリックします。

    Microsoft Entra ID Genesys Cloud アプリケーションをテストする

    Microsoft Entra ID Genesys クラウド アプリケーション テストは、Genesys Cloud ギャラリー アプリケーションとカスタム Genesys Cloud アプリケーションの両方に適用されます。

    • Microsoft Entra IDのシングルサインオン詳細ビューで、このアプリケーションをテストする