シングルサインオンプロバイダとしてPing IDを追加する

前提条件:
  • シングル・サインオン > プロバイダー > 追加、削除、編集、表示権限
  • 組織のPing Identityアカウントにおける管理者ロール
  • ユーザーの電子メールアドレスは、Ping IdentityとGenesys Cloudの両方で同じです

Genesys Cloudをアプリケーションとして追加し、組織メンバーがPing Identityアカウントの認証情報を使用してアクセスできるようにします。

メモ: 
  • Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
  • 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、以下を参照してください。 SSOのみで認証するようにGenesys Cloudを設定する.
  • 管理者は、ビジネス継続性を確保するために、追加の証明書を1つ保存するように選択できます。 1つの証明書が無効または期限切れになった場合、バックアップ証明書は統合を保持します。
  • サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。

Ping Identityを設定します。

カスタムGenesys Cloudアプリケーションの作成

  1. PingIdentityで、をクリックします 接続 >> アプリケーション
  2. プラス記号をクリックします の隣に アプリケーション
  3. クリック Webアプリ をクリックします 構成、設定 SAMLオプションの場合。
  4. 「アプリケーション構成」画面で、 以下のフィールドに入力してください。残りのフィールドは空白のままにするか、デフォルト設定のままにします。
    フィールド    説明
    アプリケーション名 Genesys Cloudアプリケーション名を入力します。
    アプリケーションの説明 アプリケーションの簡単な説明を入力します。
  5. 「アプリケーション構成」画面で、 以下のフィールドに入力してください。残りのフィールドは空白のままにするか、デフォルト設定のままにします。
    フィールド    説明
    ACSのURL AWSリージョンのGenesysCloud組織のURLを入力します。
    米国東部(N. バージニア): https://login.mypurecloud.com/saml
    米国東部2: (オハイオ): https://login.use2.us-gov-pure.cloud/saml
    米国西部(オレゴン):
    https ://login.usw2.pure.cloud/saml
    カナダ(カナダ中部): https ://login.usw2.pure.cloud/saml
    南米(サンパウロ)。 https://login.sae1.pure.cloud/saml
    EU(フランクフルト): https://login.mypurecloud.ie/saml
    EU(アイルランド): https://login.mypurecloud.ie/saml
    EU(ロンドン): https://login.euw2.pure.cloud/saml
    アジア太平洋(ムンバイ): https ://login.usw2.pure.cloud/saml
    アジアパシフィック(ソウル): https://login.apne2.pure.cloud/saml
    アジアパシフィック(シドニー): 
    https://login.mypurecloud.com.au/saml
    アジア太平洋地域(東京): https://login.mypurecloud.jp/saml
    署名鍵
    1. クリック 署名証明書をダウンロードする
    2. 選ぶ X509 PEM(.crt)
    3. ファイルを保存します。
    署名アルゴリズム 選択する RSA_SHA256
    エンティティ ID GenesysCloud組織を識別するために使用する一意の文字列を入力します。次に例を示します。 genesys.cloud.my-org
    SLOエンドポイント AWSリージョンのGenesysCloud組織のURLを入力します。
    米国東部(N. バージニア): https://login.mypurecloud.com/saml
    US East 2(オハイオ): https://login.use2.us-gov-pure.cloud/saml/logout
    米国西部(オレゴン):
    https ://login.usw2.pure.cloud/saml
    カナダ(カナダ中部): https ://login.usw2.pure.cloud/saml
    南米(サンパウロ)。 https://login.sae1.pure.cloud/saml/logout
    EU(フランクフルト): https://login.mypurecloud.ie/saml
    EU(アイルランド): https://login.mypurecloud.ie/saml EU(ロンドン):
    https://login.euw2.pure.cloud/saml アジア太平洋(ムンバイ):
    https ://login.usw2.pure.cloud/saml
    アジアパシフィック(ソウル): https://login.apne2.pure.cloud/saml アジアパシフィック(シドニー):
     
    https://login.mypurecloud.com.au/saml
    アジア太平洋地域(東京): https://login.mypurecloud.jp/saml
    SLOバインディング 選択する HTTPリダイレクト
    件名ID形式 「urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress」を選択します。
    アサーションの有効期間(秒単位) SAML認証応答のアサーションが有効である期間を決定する値を入力します。 60秒で十分です。
  6. [SSO属性マッピング]画面で、これらの属性を追加します。

    属性    説明
    saml_subject

    選択する 電子メールアドレス。

    組織名
    1. [属性] タブをクリックします。
    2. クリック 高度な表現
    3. の中に 表現 フィールドに、GenesysCloud組織の短い名前を引用符で囲んで入力します。 例:  「my-org-name」。
    4. クリック 保存する。 
    サービス名

    有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:

    • ディレクトリ(Genesys Cloud Collaborateクライアントにリダイレクト)
    • directory-admin(Genesys Cloud Admin UIにリダイレクト)

    1. [属性] タブをクリックします。
    2. クリック 高度な表現
    3. の中に 表現 フィールドに、GenesysCloud組織の短い名前を引用符で囲んで入力します。 例:  "ディレクトリ"。
    4. クリック 保存する。 
  7. クリック 保存して公開

    Genesys Cloud設定のメタデータを取得する

    1. PingIdentityで、をクリックします 接続 >> アプリケーション
    2. Genesysクラウド用に作成されたアプリケーションを展開し、 構成 タブ。 Genesys Cloud設定に必要な次のIDプロバイダメタデータに注意してください。
      メタデータ    説明
      発行者ID Okta に使用 発行者URI Genesys Cloudで設定を行います。
      シングルログアウトサービス への使用 ターゲットURI Genesys Cloudで設定を行います。
      シングルサインオンサービス への使用 ターゲットURI Genesys Cloudで設定を行います。

    Genesysクラウドの設定

    1. Genesys Cloudで、管理.
    2. 「統合」の下でシングル・サインオンをクリックします。
    3. クリック Ping Identity タブ。
    4. PingOneから収集したアイデンティティプロバイダのメタデータを入力します。
      フィールド    説明
      証明書

      1. クリック ブラウズ。
      2. 保存した証明書を選択してをクリックします 開いた
      3. クリック 追加 . 
      4. オプションで、バックアップ証明書をロードするには、手順1〜3を繰り返します。 

      発行者URI

      次のように入力します 発行者ID

      ターゲット URL

      次のように入力します シングルサインオンサービス 

      シングル ログアウト URI

      次のように入力します シングルログアウトサービス

      シングル ログアウト バインディング

      選択する HTTPリダイレクト

      証明書利用者 ID

      指定した一意の文字列を入力します エンティティID PingIdentityで。

    5.  保存するをクリックします。