添加通用单点登录提供程序

先决条件:
  • 单点登录 > 提供程序 > 添加、删除、编辑、查看 权限
  • 组织的身份提供商帐户中的管理员角色
  • 组织的身份提供商帐户和 Genesys Cloud 中的用户电子邮件地址相同

通用身份提供商配置使 Genesys Cloud 客户能够与大多数支持 SAML 2.0 的身份提供商集成。 

注释:
  • Genesys Cloud 不支持单点登录第三方身份提供商的断言加密。 Genesys Cloud 登录服务需要传输层安全性(TLS)。 由于频道是加密的,因此无需对消息的某些部分进行加密。
  • 管理员可以选择禁用默认的 Genesys Cloud 登录名,并仅使用 SSO 提供商强制执行身份验证。 有关更多信息,请参阅将 Genesys Cloud 配置为仅通过 SSO 进行身份验证
  • 管理员可以选择存储四个额外的证书以确保业务连续性。 如果一份证书失效或过期,并且其他证书之一有效,则集成将被保留。 

  • 当服务提供商 (SP) 收到来自身份提供商 (IdP) 的 SAML 响应且其系统时钟不同步时,会出现一般问题。 此问题可能导致用户在登录时被锁定在单点登录之外。 此问题可能是由 SP 和 IdP 之间的时钟偏差长度引起的。 Genesys Cloud 与您的身份提供商之间的时钟偏差不得超过 10 秒。

  • Genesys Cloud 桌面应用程序不支持安装浏览器扩展。如果您配置了需要浏览器扩展的 Azure 条件访问策略,则需要使用安装了 Microsoft Entra ID 扩展的 Genesys Cloud 支持的浏览器。在此配置中,使用桌面应用程序无法进行单点登录。

配置组织的身份提供商

获取 Genesys Cloud 配置的证书

查找并下载身份提供商的编码公共证书以进行 SAML 签名验证。

笔记: Genesys Cloud 接受 PEM 和 DER 编码证书以及 Base64 编码证书。

获取 Genesys Cloud 配置的元数据

查找并下载您的身份提供者的元数据文件,其中包含颁发者 (entityID)、单点登录 URL 和单点注销 URL,用于在组织的身份提供者帐户中配置 Genesys Cloud。

提供断言消费者服务 (ACS) URL

当系统提示输入断言使用者服务 (ACS) URL 时,请根据您的 AWS 部署区域选择适当的 URL。

AWS 区域

URL
美国东部 (N. 弗吉尼亚州

https://login.mypurecloud.com/saml
美国东部 2(俄亥俄州)

https://login.use2.us-gov-pure.cloud/saml
美国西部(俄勒冈)

https://login.usw2.pure.cloud/saml 
加拿大(加拿大中部)

https://login.cac1.pure.cloud/saml 
南美洲(圣保罗)

https://login.sae1.pure.cloud/saml 
欧洲、中东和非洲(法兰克福)

https://login.mypurecloud.de/saml
欧盟(爱尔兰)

https://login.mypurecloud.ie/saml 
欧盟(伦敦)

https://login.euw2.pure.cloud/saml
亚太地区(孟买)

https://login.aps1.pure.cloud/saml
亚太地区(首尔)

https://login.apne2.pure.cloud/saml
亚太地区(悉尼)

https://login.mypurecloud.com.au/saml
亚太地区(东京)

https://login.mypurecloud.jp/saml

提供单一注销 URL

当系统提示输入断言使用者服务 (ACS) URL 时,请根据您的 AWS 部署区域选择适当的 URL。

AWS 区域

URL
美国东部 (N. 弗吉尼亚州

https://login.mypurecloud.com/saml
美国东部 2(俄亥俄州)

https://login.use2.us-gov-pure.cloud/saml/logout
美国西部(俄勒冈)

https://login.usw2.pure.cloud/saml 
加拿大(加拿大中部)

https://login.cac1.pure.cloud/saml 
南美洲(圣保罗)

https://login.sae1.pure.cloud/saml/logout 
欧洲、中东和非洲(法兰克福)

https://login.mypurecloud.de/saml
欧盟(爱尔兰)

https://login.mypurecloud.ie/saml 
欧盟(伦敦)

https://login.euw2.pure.cloud/saml
亚太地区(孟买)

https://login.aps1.pure.cloud/saml
亚太地区(首尔)

https://login.apne2.pure.cloud/saml
亚太地区(悉尼)

https://login.mypurecloud.com.au/saml
亚太地区(东京)

https://login.mypurecloud.jp/saml

提供服务提供商实体 ID

当系统提示输入服务提供商实体 ID 时,该值可以是您要用来标识 Genesys Cloud 组织的任何唯一字符串。 该字段有时也称为 “发行者” 或 “受众 URI”。

提供 Genesys 云签名证书

当系统提示您输入签名证书时,上传从 Genesys 云获取的文件。

  1. 在 Genesys Cloud 中,单击 管理员
  2. 在 “集成” 下, 单击 “单点登录”
  3. 单击 Okta 选项卡。
  4. Genesys 云签名证书下,单击 下载证书
  5. 保存流程

配置用户属性和声明

为您的身份提供商配置这些 Genesys Cloud 用户属性。 这些属性区分大小写。 

属性名称 属性名称
组织名称 
  • 对于身份提供商发起的单点登录: 使用组织的简称。
  • 对于服务提供商发起的单点登录: 确保组织名称与您选择的组织名称匹配。 适用于一个组织使用单个身份提供商维护多个 Genesys Cloud 组织的情况。 
email  要进行身份验证的 Genesys Cloud 用户的电子邮件地址。
  • 必须是 Genesys Cloud 的现有用户。
  • 如果身份提供商未使用电子邮件地址作为主题 NameID,则您需要一个有效的电子邮件地址。
服务名称 

成功验证后要重定向到的浏览器的有效 URL,或以下关键字之一:

  • 目录(重定向到 Genesys 云协作客户端)
  • 目录管理员(重定向到 Genesys Cloud 管理员 UI)
笔记: 要添加自定义声明,请查阅您的身份提供者的文档。

配置 Genesys 云

  1. 在 Genesys Cloud 中,单击 管理员
  2. 在 “集成” 下, 单击 “单点登录”
  3. 单击 通用 SSO 提供程序 选项卡。

  4. 输入从组织的身份提供商处收集的元数据。

    字段 描述
    提供商标志 插入不超过 25 KB 的 SVG 图像。
    提供商名称 键入身份提供商名称。
    提供商证明

    要上传用于 SAML 签名验证的 X.509 证书,请执行以下操作之一。

    1. 要上传证书,请单击 “选择要上传的证书”
    2. 选择 X.509 证书。
    3. 单击 “ 打开”
    4. 或者,要加载备份证书,请重复步骤 1-3。

    或者你可以:

    1. 拖放您的证书文件。
    2. 或者,要加载备份证书,请重复第一步。

    上传的证书会显示其到期日期。 要删除证书,请单击 X

    注意: 要续订或更新即将到期的证书,请按照以下说明上传 X.509 证书,重复步骤 1--3。 每个 SSO 配置最多可以将五个证书上传到 Genesys Cloud,Genesys Cloud 会在单点登录和注销期间选择正确的证书。

    提供商发行人 URI 输入身份提供商的元数据文件中提供的 entityID。
    目标 URL 输入身份提供商的元数据文件 中提供的重定向 URL。
    单点注销 URI 输入身份提供商的元数据文件 中提供的重定向 URL。
    单点注销绑定 选择与身份提供程序中选择的绑定相同的绑定。 如果未指定绑定, 请选择 HTTP 重定向。
    正在中继用户识别符 输入用于向身份提供商标识 Genesys Cloud 的字符串。 
    注意: 如果身份提供商希望服务提供商指定信赖方标识符,请输入字符串以同时输入 Genesys Cloud 和身份提供商。 其他身份提供商在其元数据文件中生成信赖方标识符。
    名称标识符格式 选择您的身份提供者支持的名称标识符格式。 如果您的提供商支持 电子邮件 地址,这是首选格式。 如果不知道名称标识符格式,请选择 未指定
  5. (可选)选择 端点压缩 以压缩 Genesys Cloud 身份验证请求。 只有在身份提供程序不支持 HTTP 重定向绑定的压缩时,才应选中此选项并取消选中此选项。
  6. 单击 “ 保存”