シングル サインオン プロバイダーとして Salesforce を追加する

前提条件:
  • Single Sign-on > Provider > Add, Delete, Edit, View 権限
  • 組織のSalesforceアカウントにおける管理者の役割
  • IDプロバイダーとしてSalesforceが有効
  • すべてのユーザーにデプロイされたSalesforceドメイン
  • ユーザーの電子メールアドレスは、SalesforceとGenesys Cloudの両方で同じです

Genesys Cloudを、組織のメンバーがSalesforceアカウントの資格情報を使用してアクセスできるアプリケーションとして追加します。

メモ: 
  • Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
  • 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、SSOのみで認証するようにGenesys Cloudを設定するを参照してください。
  •  
  • サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。

  • Genesys Cloud デスクトップ アプリは、ブラウザ拡張機能のインストールをサポートしていません。ブラウザ拡張機能を必要とする Azure 条件付きアクセス ポリシーを構成している場合は、Microsoft Entra ID 拡張機能がインストールされている Genesys Cloud 対応ブラウザを使用する必要があります。この構成では、デスクトップ アプリを使用したシングル サインオンは機能しません。

Salesforceを設定する

アイデンティティプロバイダのイベントログを使用してエラーをトラブルシューティングします。

  1. Genesys Cloud の接続アプリを作成するには、アプリマネージャー新しい接続アプリを選択します。

  2. 新しい接続アプリページで、Genesys Cloud の接続アプリに次の設定を入力します。

     メモ:   ウェブアプリの設定で、SAML を有効にするを必ず選択してください。


    フィールド 説明
    エンティティ ID

    値は、信頼する相手 または 参加者信頼を識別するために使用する一意の文字列です。

    ACSのURL The AWS region of your Genesys Cloud organization:
    US East (N. Virginia): https://login.mypurecloud.com/saml
    US East 2 (Ohio): https://login.use2.us-gov-pure.cloud/saml
    US West (Oregon):
    https://login.usw2.pure.cloud/saml
    Canada (Canada Central): https://login.cac1.pure.cloud/saml
    South America (São Paulo): https://login.sae1.pure.cloud/saml
    EU (Frankfurt): https://login.mypurecloud.de/saml
    EU (Ireland): https://login.mypurecloud.ie/saml  
    EU (London): https://login.euw2.pure.cloud/saml
    Asia Pacific (Mumbai): https://login.aps1.pure.cloud/saml
    Asia Pacific (Seoul): https://login.apne2.pure.cloud/saml 
    Asia Pacific (Sydney): 
    https://login.mypurecloud.com.au/saml
    Asia Pacific (Tokyo): https://login.mypurecloud.jp/saml
    シングルログアウトを有効にする ボックスをチェックしてください。
    シングル ログアウト URI The AWS region of your Genesys Cloud organization:
    US East (N. Virginia): https://login.mypurecloud.com/saml/logout
    US East 2 (Ohio): https://login.use2.us-gov-pure.cloud/saml/logout
    US West (Oregon):
    https://login.usw2.pure.cloud/saml/logout
    Canada (Canada Central): https://login.cac1.pure.cloud/saml/logout
    South America (São Paulo): https://login.sae1.pure.cloud/saml/logout
    EU (Frankfurt): https://login.mypurecloud.de/saml/logout
    EU (Ireland): https://login.mypurecloud.ie/saml/logout  
    EU (London): https://login.euw2.pure.cloud/saml/logout
    Asia Pacific (Mumbai): https://login.aps1.pure.cloud/saml/logout
    Asia Pacific (Seoul): https://login.apne2.pure.cloud/saml/logout 
    Asia Pacific (Sydney): 
    https://login.mypurecloud.com.au/saml/logout
    Asia Pacific (Tokyo): https://login.mypurecloud.jp/saml/logout
    シングル ログアウト バインディング HTTPリダイレクトを選択します。
    件名タイプ    ユーザー名
    発行元 Your Salesforce domain name (https://yourID.my.salesforce.com)
    名前IDの形式 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
  3. アプリページから次のデータを収集します。

    フィールド 説明
    証明書
    1. 証明書名の横にあるIdP 証明書をクリックします。
    2. 証明書とキーの詳細ページで、証明書をダウンロードするをクリックします。
    3. 証明書をテキストファイルに保存します。
    発行者URI 発行者 値をコピーします。
    宛先 URI SP-Initiated Redirect Endpointラベル付きの値をコピーします。
    シングル ログアウト URI ラベルの付いた値をコピーします シングルログアウトエンドポイント
  4. SalesforceユーザーにGenesys CloudのConnected Appへのアクセスを提供します。 
    1. ユーザーの管理>ユーザーで、編集するをクリックします。
    2. プロファイルページを開くには、ユーザのプロファイルタイプ(たとえば、Sales、Services、またはAdministrator)をクリックします。
    3. [Connected App Access]で、[Connected App for Genesys Cloud]をクリックします。 

SAML属性

次のSAML属性がアサーションに存在する場合、GenesysCloudはそれらの属性に作用します。 属性では大文字と小文字が区別されます。 

属性名 属性値
組織名 
  • IDプロバイダーが開始したシングル サインオン : 組織の短縮名を使用します。
  • サービス プロバイダー開始の シングル サインオン: 組織名が選択した組織名と一致していることを確認してください。 単一のIDプロバイダーを使用して複数のGenesys Cloud組織を維持している場合に適用されます。 
Eメール 認証されるGenesys Cloudユーザーの電子メールアドレス。
  • 既存のGenesys Cloudユーザーである必要があります。
  • IDプロバイダーがサブジェクトNameIDとして電子メールアドレスを使用しない場合は、有効な電子メールアドレスが必要です。
サービス名 

有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:

  • directory (Genesys Cloud Collaborateクライアントにリダイレクト)
  • directory-admin(Genesys Cloud Admin UIにリダイレクト)

Genesysクラウドの設定

  1. Genesys Cloudで、管理をクリックします。
  2. 統合で、シングル・サインオンをクリックします。
  3. Salesforce タブをクリックします。
  4. Salesforceから収集した情報を入力してください。

    フィールド 説明
    証明書

    SAML 署名検証用に X.509 証明書をアップロードするには、次のいずれかを実行します。

    1. 証明書をアップロードするには、Select Certificates to upload をクリックします。
    2. X.509証明書を選択します。
    3. 開くをクリックします。
    4. オプションで、バックアップ証明書をロードするには、手順1〜3を繰り返します。

    もしくは次のようにできます:

    1. 証明書ファイルをドラッグ&ドロップします。
    2. オプションで、バックアップ証明書を読み込むには、最初のステップを繰り返します。

    アップロードされた証明書は、有効期限付きで表示されます。 証明書を削除するには、X をクリックします。

     メモ:  

    発行者URI Enter your Salesforce domain name (https://yourID.my.salesforce.com)
    宛先 URI Salesforceアプリページで、SP-Initiated Redirect Endpointとラベルされた URL を入力してください。
    シングル ログアウト URI Salesforceアプリページで、SP-Initiated Redirect Endpointとラベルされた URL を入力してください。
    シングル ログアウト バインディング HTTPリダイレクトを選択します。
    証明書利用者 ID Salesforce アプリのページに、Entity ID として指定した一意の識別子を追加します。 
  5. 保存するをクリックします。