添加通用单点登录提供程序
- 单点登录 > 提供程序 > 添加、删除、编辑、查看 权限
- 组织的身份提供商帐户中的管理员角色
- 组织的身份提供商帐户和 Genesys Cloud 中的用户电子邮件地址相同
通用身份提供商配置使 Genesys Cloud 客户能够与大多数支持 SAML 2.0 的身份提供商集成。
- Genesys Cloud 不支持单点登录第三方身份提供商的断言加密。 Genesys Cloud 登录服务需要传输层安全性(TLS)。 由于频道是加密的,因此无需对消息的某些部分进行加密。
- 管理员可以选择禁用默认的 Genesys Cloud 登录名,并仅使用 SSO 提供商强制执行身份验证。 有关更多信息,请参阅将 Genesys Cloud 配置为仅通过 SSO 进行身份验证。
- 管理员可以选择存储四个额外的证书以确保业务连续性。 如果一份证书失效或过期,并且其他证书之一有效,则集成将被保留。
当服务提供商 (SP) 收到来自身份提供商 (IdP) 的 SAML 响应且其系统时钟不同步时,会出现一般问题。 此问题可能导致用户在登录时被锁定在单点登录之外。 此问题可能是由 SP 和 IdP 之间的时钟偏差长度引起的。 Genesys Cloud 与您的身份提供商之间的时钟偏差不得超过 10 秒。
- Genesys Cloud 桌面应用程序不支持安装浏览器扩展。如果您配置了需要浏览器扩展的 Azure 条件访问策略,则需要使用安装了 Microsoft Entra ID 扩展的 Genesys Cloud 支持的浏览器。在此配置中,使用桌面应用程序无法进行单点登录。
配置组织的身份提供商
获取 Genesys Cloud 配置的证书
查找并下载身份提供商的编码公共证书以进行 SAML 签名验证。
获取 Genesys Cloud 配置的元数据
查找并下载您的身份提供者的元数据文件,其中包含颁发者 (entityID)、单点登录 URL 和单点注销 URL,用于在组织的身份提供者帐户中配置 Genesys Cloud。
提供断言消费者服务 (ACS) URL
当系统提示输入断言使用者服务 (ACS) URL 时,请根据您的 AWS 部署区域选择适当的 URL。
AWS 区域 |
URL |
美国东部 (N. 弗吉尼亚州 |
|
美国东部 2(俄亥俄州) |
|
美国西部(俄勒冈) |
|
加拿大(加拿大中部) |
|
南美洲(圣保罗) |
|
欧洲、中东和非洲(法兰克福) |
|
欧洲、中东和非洲(爱尔兰) |
|
欧洲、中东和非洲(伦敦) |
|
EMEA(阿联酋) |
|
EMEA(苏黎世) |
|
亚太地区(孟买) |
|
亚太地区(首尔) |
|
亚太地区(悉尼) |
|
亚太地区(东京) |
|
亚太地区(大阪) |
|
提供单一注销 URL
当系统提示输入断言使用者服务 (ACS) URL 时,请根据您的 AWS 部署区域选择适当的 URL。
AWS 区域 |
URL |
美国东部 (N. 弗吉尼亚州 |
|
美国东部 2(俄亥俄州) |
|
美国西部(俄勒冈) |
|
加拿大(加拿大中部) |
|
南美洲(圣保罗) |
|
欧洲、中东和非洲(法兰克福) |
|
欧洲、中东和非洲(爱尔兰) |
|
欧洲、中东和非洲(伦敦) |
|
EMEA(阿联酋) |
|
EMEA(苏黎世) |
|
亚太地区(孟买) |
|
亚太地区(首尔) |
|
亚太地区(悉尼) |
|
亚太地区(东京) |
|
亚太地区(大阪) |
|
提供服务提供商实体 ID
当系统提示输入服务提供商实体 ID 时,该值可以是您要用来标识 Genesys Cloud 组织的任何唯一字符串。 该字段有时也称为 “发行者” 或 “受众 URI”。
提供 Genesys 云签名证书
当系统提示您输入签名证书时,上传从 Genesys 云获取的文件。
- 在 Genesys Cloud 中,单击 管理员。
- 在 “集成” 下, 单击 “单点登录”。
- 单击 通用 SSO 提供程序 选项卡。
- 在 Genesys 云签名证书下,单击 下载证书。
- 保存流程
配置用户属性和声明
为您的身份提供商配置这些 Genesys Cloud 用户属性。 这些属性区分大小写。
属性名称 | 属性名称 |
---|---|
组织名称 |
|
要进行身份验证的 Genesys Cloud 用户的电子邮件地址。
|
|
服务名称 |
成功验证后要重定向到的浏览器的有效 URL,或以下关键字之一:
|
配置 Genesys 云
- 在 Genesys Cloud 中,单击 管理员。
- 在 “集成” 下, 单击 “单点登录”。
- 单击 通用 SSO 提供程序 选项卡。
-
输入从组织的身份提供商处收集的元数据。
字段 描述 提供商标志 插入不超过 25 KB 的 SVG 图像。 提供商名称 键入身份提供商名称。 提供商证明 要上传用于 SAML 签名验证的 X.509 证书,请执行以下操作之一。
- 要上传证书,请单击 “选择要上传的证书”。
- 选择 X.509 证书。
- 单击 “ 打开”。
- 或者,要加载备份证书,请重复步骤 1-3。
或者你可以:
- 拖放您的证书文件。
- 或者,要加载备份证书,请重复第一步。
上传的证书会显示其到期日期。 要删除证书,请单击 X。
注意: 要续订或更新即将到期的证书,请按照以下说明上传 X.509 证书,重复步骤 1--3。 每个 SSO 配置最多可以将五个证书上传到 Genesys Cloud,Genesys Cloud 会在单点登录和注销期间选择正确的证书。提供商发行人 URI 输入身份提供商的元数据文件中提供的 entityID。 目标 URL 输入身份提供商的元数据文件 中提供的重定向 URL。 单点注销 URI 输入身份提供商的元数据文件 中提供的重定向 URL。 单点注销绑定 选择与身份提供程序中选择的绑定相同的绑定。 如果未指定绑定, 请选择 HTTP 重定向。 正在中继用户识别符 输入用于向身份提供商标识 Genesys Cloud 的字符串。
注意: 如果身份提供商希望服务提供商指定信赖方标识符,请输入字符串以同时输入 Genesys Cloud 和身份提供商。 其他身份提供商在其元数据文件中生成信赖方标识符。名称标识符格式 选择您的身份提供者支持的名称标识符格式。 如果您的提供商支持 电子邮件 地址,这是首选格式。 如果不知道名称标识符格式,请选择 未指定. - (可选)选择端点压缩压缩 Genesys Cloud 身份验证请求。仅当身份提供者不支持 HTTP 重定向绑定的压缩时,才确保选择并清除此字段。
- 单击 “ 保存”。