将微软 ADFS 添加为单点登录提供商

先决条件:
  • 单点登录 > 提供程序 > 添加、删除、编辑、查看 权限
  • 组织 ADFS 帐户中的管理员角色
  • ADFS 和 Genesys Cloud 中的用户电子邮件地址相同
  • 任何支持 SAML 2.0 的微软 ADFS 版本。 根据版本的不同,配置存在一些差异。

将 Genesys Cloud 添加为组织成员可以使用其 Microsoft ADFS 帐户凭据访问的应用程序。

注释:
  • Genesys Cloud 不支持单点登录第三方身份提供商的断言加密。 Genesys Cloud 登录服务需要传输层安全性(TLS)。 由于频道是加密的,因此无需对消息的某些部分进行加密。
  • 管理员可以选择禁用默认的 Genesys Cloud 登录名,并仅使用 SSO 提供商强制执行身份验证。 有关更多信息,请参阅将 Genesys Cloud 配置为仅通过 SSO 进行身份验证
  • 管理员可以选择存储四个额外的证书以确保业务连续性。 如果一份证书失效或过期,并且其他证书之一有效,则集成将被保留。 

  • 当服务提供商 (SP) 收到来自身份提供商 (IdP) 的 SAML 响应且其系统时钟不同步时,会出现一般问题。 此问题可能导致用户在登录时被锁定在单点登录之外。 此问题可能是由 SP 和 IdP 之间的时钟偏差长度引起的。 Genesys Cloud 与您的身份提供商之间的时钟偏差不得超过 10 秒。

  • Genesys Cloud 桌面应用程序不支持安装浏览器扩展。如果您配置了需要浏览器扩展的 Azure 条件访问策略,则需要使用安装了 Microsoft Entra ID 扩展的 Genesys Cloud 支持的浏览器。在此配置中,使用桌面应用程序无法进行单点登录。

配置微软 ADFS

获取 ADFS 配置的证书

  1. 在 Genesys Cloud 中,单击 管理员
  2. 在 “集成” 下, 单击 “单点登录”。
  3. 单击 ADFS/Azure AD(高级) 选项卡。
  4. Genesys 云签名证书下,单击 下载证书
  5. 保存流程

添加信赖方信任

  1. 转到 管理工具 > AD FS。 
  2. 在控制台树中,转到 AD FS > 信任关系 > 信赖方信任
  3. 要打开向导,请单击 “添加信赖方信任”
  4. 在 “选择数据源” 页上,单击 “手动输入有关回复方的数据”
  5. 在 “指定显示名称” 页面上,输入回复方的名称(即 Genesys Cloud)。
  6. 在 “选择配置文件” 页面上,单击 AD FS 配置文件以选择 SAML。
  7. 跳过 “配置证书” 页面。
  8. 在 “配置 URL” 页中,执行以下步骤:
    1. 单击 启用对 SAML 2.0 WebSSO 协议的支持

    2. 在复选框下方的字段中,键入基于 AWS 区域的 Genesys 云组织的以下 URL。

      AWS 区域

      URL
      美国东部 (N. 弗吉尼亚州

      https://login.mypurecloud.com/saml
      美国东部 2(俄亥俄州) https://login.use2.us-gov-pure.cloud/saml
      美国西部(俄勒冈)

      https://login.usw2.pure.cloud/saml 
      加拿大(加拿大中部)

      https://login.cac1.pure.cloud/saml
      南美洲(圣保罗)

      https://login.sae1.pure.cloud/saml
      欧洲、中东和非洲(法兰克福)

      https://login.mypurecloud.de/saml
      欧盟(爱尔兰)

      https://login.mypurecloud.ie/saml 
      欧盟(伦敦)

      https://login.euw2.pure.cloud/saml
      亚太地区(孟买)

      https://login.aps1.pure.cloud/saml
      亚太地区(首尔)

      https://login.apne2.pure.cloud/saml 
      亚太地区(悉尼)

      https://login.mypurecloud.com.au/saml
      亚太地区(东京)

      https://login.mypurecloud.jp/saml
  9. 在 “配置标识符” 页中,键入信赖方信任标识符的值。 该值可以是要用来标识信赖方信任的任何唯一字符串。 在对联合身份验证服务的请求中标识信赖方时,AD FS 使用前缀匹配逻辑来确定 AD FS 配置数据库中的匹配方信任。
  10. 在 “立即配置多重身份验证” 页面上,选择是否配置 MFA。
    注意: 本文档不包括配置 MFA 的过程。
  11. 将所有其他设置保留为默认值,然后单击 关闭
  12. 在 “信赖方信任” 页面上,右键单击您在上一过程中创建的信任,然后选择 “ 编辑声明规则”。
  13. 端点 选项卡中,单击 添加 SAML
  14. 对于 端点类型,请选择 SAML 注销
    AWS 区域 URL
    美国东部 (N. 弗吉尼亚州 https://login.mypurecloud.com/saml
    美国东部 2(俄亥俄州) https://login.use2.us-gov-pure.cloud/saml/logout
    美国西部(俄勒冈) https://login.usw2.pure.cloud/saml 
    加拿大(加拿大中部) https://login.cac1.pure.cloud/saml 
    南美洲(圣保罗) https://login.sae1.pure.cloud/saml/logout 
    欧洲、中东和非洲(法兰克福) https://login.mypurecloud.de/saml
    欧盟(爱尔兰) https://login.mypurecloud.ie/saml 
    欧盟(伦敦) https://login.euw2.pure.cloud/saml
    亚太地区(孟买) https://login.aps1.pure.cloud/saml
    亚太地区(首尔) https://login.apne2.pure.cloud/saml 
    亚太地区(悉尼) https://login.mypurecloud.com.au/saml
    亚太地区(东京) https://login.mypurecloud.jp/saml
  15. 单击 “ 确定”
  16. 签名 选项卡中,单击 添加
  17. 选择 “获取用于 ADFS 配置的证书” 第 5 步中保存的证书,然后单击 “打开”
  18. 单击 “ 确定”

添加索赔规则

添加三条索赔规则: 电子邮件、发送电子邮件至 NameID 和组织名称。

  1. 在 “信赖方信任” 页面上,右键单击您在上一过程中创建的信任,然后选择 “ 编辑声明规则”
  2. 添加电子邮件规则:
    1. 单击 添加规则。 

    2. 使用以下设置配置声明规则:

      属性 描述
      索赔规则模板 选择 将 LDAP 属性作为声明发送
      声明规则名称 键入 电子邮件。
      属性存储 选择 活动目录
      LDAP 属性 选择 电子邮件地址
      传出索赔类型 选择 电子邮件地址
    3. 单击 “ 完成”
  3. 添加电子邮件到 NameID 规则:
    1. 单击 添加规则

    2. 使用以下设置配置声明规则:

      属性 描述
      索赔规则模板 选择 转换传入的索赔
      声明规则名称 键入 发送电子邮件至 NameID
      传入的索赔类型 选择 电子邮件地址
      传出索赔类型 选择 “ 名称 ID”
      传出姓名 ID 格式 选择 瞬态标识符
      通过所有索赔 选择 传递所有索赔。

    3. 单击 “ 完成”

  4. 添加组织名称规则:

    1. 单击 添加规则

    2. 使用以下设置配置声明规则:

      属性 描述
      索赔规则模板 选择使用自定义规则 发送索赔
      声明规则名称 键入 组织名称
      自定义规则

      输入以下文本,然后将 orgName 替换为 Genesys Cloud 组织的简称。 组织名称区分大小写。  

      => issue(Type = "OrganizationName", Value = "OrgName");
    3. 单击 “ 完成”
  5. 在 “发布转换规则” 选项卡中,确保规则按以下顺序排列:
    1. 电子邮件
    2. 发送电子邮件至 nameID
    3. 组织名称

SAML 属性

如果断言中存在以下 SAML 属性,Genesys Cloud 将对这些属性执行操作。 这些属性区分大小写。 

属性名称 属性名称
组织名称 
  • 对于身份提供商发起的单点登录: 使用组织的简称。
  • 对于服务提供商发起的单点登录: 组织名称必须与您选择的组织相匹配。 适用于一个组织使用单个身份提供商维护多个 Genesys Cloud 组织的情况。 
email  要进行身份验证的 Genesys Cloud 用户的电子邮件地址。
  • 必须是 Genesys Cloud 的现有用户。
  • 如果身份提供商未使用电子邮件地址作为主题 NameID,则您需要一个有效的电子邮件地址。
服务名称 

成功验证后要重定向到的浏览器的有效 URL,或以下关键字之一:

  • 目录(重定向到 Genesys 云协作客户端)
  • 目录管理员(重定向到 Genesys Cloud 管理员 UI)

获取 Genesys Cloud 配置的证书

  1. 在控制台树中,转到 AD FS > 服务 > 证书
  2. 右键单击令牌签名下的证书,然后选择 查看证书
  3. 单击 详细信息 选项卡,然后单击 复制到文件
  4. 对于导出文件格式,请选择 Base-64 编码的 X.509 (.CER)
  5. 对于文件名,请执行以下步骤:
    1. 单击 “ 浏览”
    2. 键入文件名。
    3. 单击 “ 保存”
  6. 单击 “ 完成”

获取 Genesys Cloud 配置的元数据

元数据文件包含发布者 (entityID) 和用于配置 Genesys Cloud 的重定向 URL。

  1. 在控制台树中,转到 AD FS > 服务 > 终端节点
  2. 导航到名为 FederationMetadata.xml 的文件并将其下载

选择身份验证方法:

选择在外联网和内部网上登录 Genesys Cloud 的身份验证方法。

  1. 在控制台树中,转到 AD FS > 身份验证策略
  2. 在主身份验证 > 全局设置下,单击 编辑。
  3. 在外联网下,选中 表单身份验证。
  4. 在内联网下,选中 窗体身份验证 和 Windows 身份验证。
  5. 单击 “ 确定”

配置 Genesys 云

  1. 在 Genesys Cloud 中,单击 管理员
  2. 在 “集成” 下, 单击 “单点登录”。
  3. 单击 ADFS/Azure AD(高级) 选项卡。

  4. 输入从 Microsoft ADFS 收集的身份提供程序元数据。

    字段 描述
    证书

    要上传用于 SAML 签名验证的 X.509 证书,请执行以下操作之一。

    1. 要上传证书,请单击 “选择要上传的证书”
    2. 选择 X.509 证书。
    3. 单击 “ 打开”
    4. 或者,要加载备份证书,请重复步骤 1-3。

    或者你可以:

    1. 拖放您的证书文件。
    2. 或者,要加载备份证书,请重复第一步。

    上传的证书会显示其到期日期。 要删除证书,请单击 X

    注意: 要续订或更新即将到期的证书,请按照以下说明上传 X.509 证书,重复步骤 1--3。 每个 SSO 配置最多可以将五个证书上传到 Genesys Cloud,Genesys Cloud 会在单点登录和注销期间选择正确的证书。

    发行人 URI 从 FederationMetadata.xml 文件中输入实体 ID。
    目标 URI

    在 FederationMetadata.xml 文件中找到 SingleSignonService 标签,绑定等于 “urn: oasis: names: tc: saml: 2.0: bindings: http-redirect”。 例如: <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”><sajan index=" 1"="">

    使用 “位置” 属性中包含的 URL。 例如: https://your-adfs.com/adfs/ls
    单点注销 URI

    在 FederationMetadata.xml 文件中找到绑定等于 “URN: OASIS: 名称:TC: SAML: 2.0: 绑定:HTTP 重定向” 的单注服务标签,例如: <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”><sajan index=" 2"="">

    使用 “位置” 属性中包含的 URL。 例如: https://your-adfs.com/adfs/ls
    单点注销绑定 选择 HTTP 重定向
    正在中继用户识别符 添加添加信赖方信任时配置的唯一标识符。 
  5. 单击 “ 保存”