将谷歌 G Suite 添加为单点登录提供商

先决条件:
  • 单点登录 > 提供程序 > 添加、删除、编辑、查看 权限
  • 组织的 Google G Suite 帐号中的管理员角色
  • 谷歌 G Suite 和 Genesys Cloud 中的用户电子邮件地址相同

将 Genesys Cloud 添加为组织成员可以使用 Google G Suite 帐户凭据访问的应用程序。

注释:
  • Genesys Cloud 不支持单点登录第三方身份提供商的断言加密。 Genesys Cloud 登录服务需要传输层安全性(TLS)。 由于频道是加密的,因此无需对消息的某些部分进行加密。
  • 管理员可以选择禁用默认的 Genesys Cloud 登录名,并仅使用 SSO 提供商强制执行身份验证。 有关更多信息,请参阅将 Genesys Cloud 配置为仅通过 SSO 进行身份验证。 
  • 谷歌工作空间不支持 SSO 提供商的自动注销。
  • Google G Suite SSO 集成不适用于包括基于 Chromium 的应用程序在内的第三方应用程序。
  • 管理员可以选择存储一个额外的证书 以确保业务连续性。 如果一个证书变得无效或过期,备份证书将保留集成。

  • 当服务提供商 (SP) 收到来自身份提供商 (IdP) 的 SAML 响应且其系统时钟不同步时,会出现一般问题。 此问题可能导致用户在登录时被锁定在单点登录之外。 此问题可能是由 SP 和 IdP 之间的时钟偏差长度引起的。 Genesys Cloud 与您的身份提供商之间的时钟偏差不得超过 10 秒。

 

配置谷歌工作区

创建自定义 Genesys Cloud 应用程序

  1. 在管理员控制台中,单击 Google > 应用程序 > SAML
  2. 点击 (+) 在右下角。
  3. 在步骤 1 为 SAML 应用程序启用 SSO 中,单击 设置我自己的自定义应用程序
  4. 在第 2 步 Google IdP 信息中,填写以下字段并将其余字段留空或保留默认设置。
    字段 描述
    SSO 网址 复制并保存此 URL 以用作 Genesys Cloud 配置中的目标 URI。
    实体 ID 复制并保存此 URL 以用作 Genesys Cloud 配置中的发行者 URI。
    证书 下载证书
  5. 在自定义应用程序的第 3 步基本信息中,完成以下内容 字段并将其余字段留空或保持默认设置。
    字段 描述
    应用程序标签 键入您的 Genesys Cloud 应用程序名称。
  6. 在第 4 步服务提供商详细信息中, 填写以下字段并将其余字段留空或使用默认设置.
    字段 描述
    ACS 网址

    键入 AWS 区域的 Genesys 云组织的 URL:
    美国东部 (N. 弗吉尼亚州): https://login.mypurecloud.com/saml
    美国东部 2(俄亥俄州): https://login.use2.us-gov-pure.cloud/saml
    美国西部(俄勒冈州):     https://login.usw2.pure.cloud/saml
    加拿大(加拿大中部): https://login.cac1.pure.cloud/saml
    南美洲(圣保罗): https://login.sae1.pure.cloud/saml
    欧洲、中东和非洲(法兰克福) https://login.mypurecloud.de/saml
    欧盟(爱尔兰) https://login.mypurecloud.ie/saml
    欧盟(伦敦): https://login.euw2.pure.cloud/saml
    亚太地区(孟买) https://login.aps1.pure.cloud/saml
    亚太地区(首尔) https://login.apne2.pure.cloud/saml
    亚太地区(悉尼):     https://login.mypurecloud.com.au/saml
    亚太地区(东京) https://login.mypurecloud.jp/saml
    实体 ID 键入要用于标识实体 ID 的唯一字符串,例如: mypurecloud.com/谷歌
    姓名 ID 格式 从列表中,选择 瞬态
  7. 在步骤 5 属性映射中,保留默认设置。
  8. 单击 “ 完成”

SAML 属性

如果断言中存在以下额外 SAML 属性,则 Genesys Cloud 将作用于这些属性。 属性区分大小写。 

属性名称 属性名称
组织名称 
  • 对于身份提供商发起的单点登录: 使用组织的简称。
  • 对于服务提供商发起的单点登录: 确保组织名称与您选择的组织名称匹配。 它适用于组织使用单个身份提供者维护多个 Genesys Cloud 组织的情况。  
email  要进行身份验证的 Genesys Cloud 用户的电子邮件地址。
  • 必须是 Genesys Cloud 的现有用户。
  • 如果身份提供商未使用电子邮件地址作为主题 NameID,则您需要一个有效的电子邮件地址。
服务名称 

成功验证后要重定向到的浏览器的有效 URL,或以下关键字之一:

  • 目录(重定向到 Genesys 云协作客户端)
  • 目录管理员(重定向到 Genesys Cloud 管理员 UI)

    配置 Genesys 云

    1. 在 Genesys Cloud 中,单击 管理员
    2. 在 “集成” 下, 单击 “单点登录”。
    3. 点击 谷歌 G Suite 选项卡。
    4. 键入从 Google G Suite 收集的身份提供商元数据。
      字段 描述
      证书

      要上传用于 SAML 签名验证的 X.509 证书,请执行以下操作之一。

      1. 要上传证书,请单击 “选择要上传的证书”
      2. 选择 X.509 证书。
      3. 单击 “ 打开”
      4. 或者,要加载备份证书,请重复步骤 1-3。

      或者你可以:

      1. 拖放您的证书文件。
      2. 或者,要加载备份证书,请重复第一步。

      上传的证书会显示其到期日期。 要删除证书,请单击 X

      注意: 要续订或更新即将到期的证书,请按照以下说明上传 X.509 证书,重复步骤 1--3。 每个 SSO 配置最多可以将五个证书上传到 Genesys Cloud,Genesys Cloud 会在单点登录和注销期间选择正确的证书。

      发行人 URI

      在谷歌 G Suite Genesys Cloud 自定义应用程序中键入步骤 2 谷歌 IDP 信息中的 实体 ID ,例如:
      https://accounts.google.com/o/saml2?idpid=C0151g8I9
      目标 URI

      在谷歌 G Suite Genesys Cloud 自定义应用程序中键入第 2步 谷歌 IDP 信息中 的 SSO 网址 ,例如: https://accounts.google.com/o/saml2/idp?idpid=C0151g8I9
      正在中继用户识别符 在 Google G Suite Genesys Cloud 自定义应用程序中键入步骤 4 服务提供商详细信息中的 实体 ID ,例如: mypurecloud.com/谷歌

      注意: Google IDP 信息中实体 ID 的值和功能与您的 Genesys Cloud 应用程序的服务提供商详细信息中的实体 ID 不同。
       
    5. 单击 “ 保存”