Microsoft Entra ID をシングル サインオン プロバイダーとして追加する
- Single Sign-on > Provider > Add, Delete, Edit, View 権限
- 組織の Microsoft Entra ID Premium または無料アカウントの管理者ロール
- ユーザーのメールアドレスは両方で同じですエントラIDおよびGenesys Cloud
- SAML 2.0 をサポートする任意の Microsoft Entra ID Premium バージョン (バージョンに応じて構成が異なります)。
- または、SSOをサポートする無料のMicrosoft Entra IDサブスクリプション
組織のメンバーが Microsoft Entra ID Premium または Free Microsoft Entra ID アカウントの資格情報を使用してアクセスできるアプリケーションとして Genesys Cloud を追加します。
- Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
- 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、SSOのみで認証するようにGenesys Cloudを設定するを参照してください。
サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。
- Genesys Cloud デスクトップ アプリは、ブラウザ拡張機能のインストールをサポートしていません。ブラウザ拡張機能を必要とする Azure 条件付きアクセス ポリシーを構成している場合は、Microsoft Entra ID 拡張機能がインストールされている Genesys Cloud 対応ブラウザを使用する必要があります。この構成では、デスクトップ アプリを使用したシングル サインオンは機能しません。
Microsoft Entra ID を構成する
Genesys Cloudギャラリーアプリケーション(推奨される方法)を構成するか、カスタムGenesysCloudアプリケーションを作成することができます。
- クリックマイクロソフト エントラ ID >企業アプリケーション。
- クリック 新しいアプリ。
- 検索ボックスに「Genesys Cloud for Azure」と入力します。
- アプリケーションをクリックし、名前を追加して、をクリックします 作成。
メモ: Genesys LabsIncによって公開されているものを選択します。
- シングル・サインオンをクリックします。
- SAMLをクリックします。
- 基本 SAML 構成で、編集 をクリックし、返信 URL フィールドに適切な Genesys Cloud SAML ログイン URL を入力し、ログアウト URL フィールドにログアウト URL を入力します。
の 識別子 (EntityID)は、Azureインスタンスに固有の任意の値にすることができます。 表には、返信URL とログアウトURL のうち、あなたのGenesys Cloud組織、AWSリージョンに基づくものが表示されます:
AWSリージョン 返信URL
ログアウトURL
米国東部(N. ヴァージニア州 https://login.mypurecloud.com/saml
https://login.mypurecloud.com/saml/logout
US East 2(オハイオ) https://login.use2.us-gov-pure.cloud/saml
https://login.use2.us-gov-pure.cloud/saml/logout
米国西部(オレゴン) https://login.usw2.pure.cloud/saml
https://login.usw2.pure.cloud/saml/logout
カナダ(Canada Central) https://login.cac1.pure.cloud/saml
https://login.cac1.pure.cloud/saml/logout
南米(サンパウロ) https://login.sae1.pure.cloud/saml
https://login.sae1.pure.cloud/saml/logout
EMEA (フランクフルト) https://login.mypurecloud.de/saml
https://login.mypurecloud.de/saml/logout
EMEA (アイルランド) https://login.mypurecloud.ie/saml
https://login.mypurecloud.ie/saml/logout
EMEA (ロンドン) https://login.euw2.pure.cloud/saml
https://login.euw2.pure.cloud/saml/logout
EMEA(アラブ首長国連邦) https://login.mec1.pure.cloud/saml
https://login.mec1.pure.cloud/saml/logout
EMEA(チューリッヒ)
https://login.euc2.pure.cloud/saml
https://login.euc2.pure.cloud/saml/logout
中東(UAE) https://login.mec1.pure.cloud/saml
https://login.mec1.pure.cloud/logout
アジア太平洋 (ムンバイ) https://login.aps1.pure.cloud/saml
https://login.aps1.pure.cloud/saml/logout
アジア・パシフィック(大阪) https://login.apne3.pure.cloud/saml
https://login.apne3.pure.cloud/saml/logout
アジア太平洋 (ソウル) https://login.apne2.pure.cloud/saml
https://login.apne2.pure.cloud/saml/logout
アジア太平洋 (シドニー) https://login.mypurecloud.com.au/saml
https://login.mypurecloud.com.au/saml/logout
アジア太平洋 (東京) https://login.mypurecloud.jp/saml
https://login.mypurecloud.jp/saml/logout
- [ユーザー属性と要求]で、[]をクリックします。 編集する これらの属性名を入力します。 カスタムクレームを追加するには、ドロップダウンリストの上にある[ソース属性]フィールドにカスタム属性名を入力します。
メモ: 属性名では大文字と小文字が区別されます。 表に表示されているとおりに入力します。 クレームで名前空間を使用しないでください。
属性名 属性値 Eメール user.userprincipalname
ノート:
- 電子メールクレームの場合、emailという名前の新しいクレームを作成します。
- Genesys Cloud のユーザーの電子メール アドレスを参照します。 通常、電子メール アドレスは user.userprincipalname です。 しかし Azure 管理者が別のユーザー プリンシパル名を持っている場合 (UPN) および電子メール、user.email を使用 (または user.mail として)。
- ケースは、Genesys Cloudでそのユーザーに設定された電子メールアドレスのケースと一致する必要があります。
Genesys Cloudは、電子メールアドレスを小文字に変更します。 ADが大文字の文字(John.Smith@company.comなど)を使用して電子メールを送信する場合は、電子メールの要求に小文字の変換を追加する必要があります。
-
- [クレームの管理]で、[ 変身。
- [変換の管理]で、[変換]を[ToLOWERCASE()]に設定します。
- パラメータをuser.mailに設定します。
- name クレームは email クレームとも一致する必要があります。
たとえば、AD に jsmith@company.com (user.userprinicpalname) としてログインしているが、Genesys Cloud の実際の電子メール アドレスが john.smith@company.com である場合、user.userprincipalname は使用できません。 Azure システムにあるものに応じて、user.mail または user.email を使用します。 名前空間情報を入力しないでください。
組織名 Genesys Cloud組織の短縮名 サービス名 有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:
- directory (Genesys Cloud Collaborateクライアントにリダイレクト)
- directory-admin(Genesys Cloud Admin UIにリダイレクト)
- 電子メールクレームの場合、emailという名前の新しいクレームを作成します。
- SAML 署名証明書で、 証明書 (ベース 64) をクリックしてダウンロードします。
- 下 Azure 用 Genesys Cloud のセットアップ、注意してください ログインURL、 Azure AD 識別子、 と ログアウト URL. それらを使用して、Genesys Cloud でターゲット URI と発行者 URI を構成します。
- クリックマイクロソフト エントラ ID >企業アプリケーション。
- クリック 新しいアプリ。
- [アプリケーションの追加]で、[]をクリックします。 非ギャラリーアプリケーション
- [名前] フィールドに「Genesys Cloud」と入力します。
- シングル・サインオンをクリックします。
- SAMLをクリックします。
- 基本 SAML 構成で、編集 をクリックし、返信 URL フィールドに適切な Genesys Cloud SAML ログイン URL を入力し、ログアウト URL フィールドにログアウト URL を入力します。
の 識別子 (EntityID)は、Azureインスタンスに固有の任意の値にすることができます。 表には、返信URL とログアウトURL のうち、あなたのGenesys Cloud組織、AWSリージョンに基づくものが表示されます:
AWSリージョン 返信URL
ログアウトURL
米国東部(N. ヴァージニア州 https://login.mypurecloud.com/saml
https://login.mypurecloud.com/saml/logout
US East 2(オハイオ) https://login.use2.us-gov-pure.cloud/saml
https://login.use2.us-gov-pure.cloud/saml/logout
米国西部(オレゴン) https://login.usw2.pure.cloud/saml
https://login.usw2.pure.cloud/saml/logout
カナダ(Canada Central) https://login.cac1.pure.cloud/saml
https://login.cac1.pure.cloud/saml/logout
南米(サンパウロ) https://login.sae1.pure.cloud/saml
https://login.sae1.pure.cloud/saml/logout
EU(フランクフルト) https://login.mypurecloud.de/saml
https://login.mypurecloud.de/saml/logout
EU (アイルランド) https://login.mypurecloud.ie/saml
https://login.mypurecloud.ie/saml/logout
EU(ロンドン) https://login.euw2.pure.cloud/saml
https://login.euw2.pure.cloud/saml/logout
アジア太平洋 (ムンバイ) https://login.aps1.pure.cloud/saml
https://login.aps1.pure.cloud/saml/logout
アジア太平洋 (ソウル) https://login.apne2.pure.cloud/saml
https://login.apne2.pure.cloud/saml/logout
アジア太平洋 (シドニー) https://login.mypurecloud.com.au/saml
https://login.mypurecloud.com.au/saml/logout
アジア太平洋 (東京) https://login.mypurecloud.jp/saml
https://login.mypurecloud.jp/saml/logout
- [ユーザー属性と要求]で、[]をクリックします。 編集する これらの属性名を入力します。 カスタムクレームを追加するには、ドロップダウンリストの上にある[ソース属性]フィールドにカスタム属性名を入力します。
メモ: 属性名では大文字と小文字が区別されます。 表に表示されているとおりに入力します。 クレームで名前空間を使用しないでください。
属性名 属性値 Eメール user.userprincipalname
ノート:
-
Genesys Cloud のユーザーの電子メール アドレスを参照します。 通常、電子メール アドレスは user.userprincipalname ですが、Azure 管理者が別のユーザー プリンシパル名を持っている場合 (UPN) および電子メールの場合は、user.email を使用します。
たとえば、jsmith@company.com (user.userprinicpalname) として AD にログインしているが、実際の電子メール アドレスが john.smith@company.com である場合は、所有している内容に応じて、user.mail または user.email を使用します。アズール系。 名前空間情報を入力しないでください。 -
ケースは、Genesys Cloudでそのユーザーに設定された電子メールアドレスのケースと一致する必要があります。 Genesys Cloudは、デフォルトで電子メールを小文字にします。
ADが大文字の文字(John.Smith@company.comなど)を使用して電子メールを送信する場合は、電子メールの要求に小文字の変換を追加する必要があります。
組織名 Genesys Cloud組織の短縮名 サービス名 (省略可) 認証が成功した後にリダイレクトされるブラウザの有効な URL、または次のキーワードのいずれか:
- directory (Genesys Cloud Collaborateクライアントにリダイレクト)
- directory-admin(Genesys Cloud Admin UIにリダイレクト)
-
- SAML 署名証明書で、 証明書 (ベース 64) をクリックしてダウンロードします。
- 下 Azure 用 Genesys Cloud のセットアップ、注意してください ログインURL、 Azure AD 識別子、 と ログアウト URL. それらを使用して、Genesys Cloud でターゲット URI と発行者 URI を構成します。
ユーザーとグループをGenesys Cloudアプリケーションに割り当てる
Genesys Cloud ギャラリーまたはカスタム Genesys Cloud アプリケーションのいずれかを設定した後、Microsoft Entra ID を ID プロバイダーとして使用して Genesys Cloud にログインするユーザーとグループを割り当てます。
- Genesys Cloudカスタムアプリケーションで、 ユーザーとグループ.
- ユーザーを追加するをクリックします。
- 適切なユーザーとグループをクリックします。
- 割り当てますをクリックします。
Genesysクラウドの設定
Genesys Cloud 構成は、Genesys Cloud ギャラリー アプリケーションとカスタム Genesys Cloud アプリケーションの両方に適用されます。
- Genesys Cloudで、管理.
- 統合で、シングル・サインオンをクリックします。
- クリックADFS/Microsoft Entra ID (プレミアム)タブ。
-
Microsoft Entra ID から収集された ID プロバイダー メタデータを入力します。
フィールド 説明 証明書 SAML 署名検証用に X.509 証明書をアップロードするには、次のいずれかを実行します。
- 証明書をアップロードするには、Select Certificates to upload をクリックします。
- X.509証明書を選択します。
- 開くをクリックします。
- オプションで、バックアップ証明書をロードするには、手順1〜3を繰り返します。
もしくは次のようにできます:
- 証明書ファイルをドラッグ&ドロップします。
- オプションで、バックアップ証明書を読み込むには、最初のステップを繰り返します。
アップロードされた証明書は、有効期限付きで表示されます。 証明書を削除するには、X をクリックします。
メモ:発行者URI 入力してくださいAzure AD 識別子Microsoft Entra ID Genesys Cloud カスタム アプリケーションから。
メモ: 発行者URIは、IDだけでなくURLです。 URLは「https://sts.windows.net/1234abcd5678efgh」の形式である必要があります。GUIDはAzureのエンティティIDです。宛先 URI 入力してくださいログインURLからMicrosoft Entra ID Genesys Cloudカスタムアプリケーション。 シングル ログアウト URI 入力してくださいログアウトURL Microsoft Entra ID Genesys Cloud カスタム アプリケーションから。 シングル ログアウト バインディング 選ぶ HTTPリダイレクト。 証明書利用者 ID 入力してください識別子(エンティティID) Microsoft Entra IDからGenesys Cloudカスタムアプリケーション。
Note: The SAML resource is the default for the app within Microsoft Entra ID. We recommend using the SAML resource as an Entity ID, as it is unique and readily available. If you are running multiple instances of the SSO integration on your Microsoft Entra ID instance, you can use a unique identifier as long as the IDP configuration in Genesys Cloud has the same identifier in the Relying Party Identifier field. Genesys Cloud uses this value to identify itself to the IDP. The Relying Party Identifier can be any value as long as it can uniquely identify Genesys Cloud to the identity provider. - 保存するをクリックします。
Microsoft Entra ID Genesys Cloud アプリケーションをテストする
Microsoft Entra ID Genesys クラウド アプリケーション テストは、Genesys Cloud ギャラリー アプリケーションとカスタム Genesys Cloud アプリケーションの両方に適用されます。
- Microsoft Entra IDのシングルサインオン詳細ビューで、このアプリケーションをテストする。