将微软 ADFS 添加为单点登录提供商
- 单点登录 > 提供程序 > 添加、删除、编辑、查看 权限
- 组织 ADFS 帐户中的管理员角色
- ADFS 和 Genesys Cloud 中的用户电子邮件地址相同
- 任何支持 SAML 2.0 的微软 ADFS 版本。 根据版本的不同,配置存在一些差异。
将 Genesys Cloud 添加为组织成员可以使用其 Microsoft ADFS 帐户凭据访问的应用程序。
- Genesys Cloud 不支持单点登录第三方身份提供商的断言加密。 Genesys Cloud 登录服务需要传输层安全性(TLS)。 由于频道是加密的,因此无需对消息的某些部分进行加密。
- 管理员可以选择禁用默认的 Genesys Cloud 登录名,并仅使用 SSO 提供商强制执行身份验证。 有关更多信息,请参阅将 Genesys Cloud 配置为仅通过 SSO 进行身份验证。
- 管理员可以选择存储四个额外的证书以确保业务连续性。 如果一份证书失效或过期,并且其他证书之一有效,则集成将被保留。
当服务提供商 (SP) 收到来自身份提供商 (IdP) 的 SAML 响应且其系统时钟不同步时,会出现一般问题。 此问题可能导致用户在登录时被锁定在单点登录之外。 此问题可能是由 SP 和 IdP 之间的时钟偏差长度引起的。 Genesys Cloud 与您的身份提供商之间的时钟偏差不得超过 10 秒。
- Genesys Cloud 桌面应用程序不支持安装浏览器扩展。如果您配置了需要浏览器扩展的 Azure 条件访问策略,则需要使用安装了 Microsoft Entra ID 扩展的 Genesys Cloud 支持的浏览器。在此配置中,使用桌面应用程序无法进行单点登录。
配置微软 ADFS
获取 ADFS 配置的证书
- 在 Genesys Cloud 中,单击 管理员。
- 在 “集成” 下, 单击 “单点登录”。
- 单击 ADFS/Azure AD(高级) 选项卡。
- 在 Genesys 云签名证书下,单击 下载证书。
- 保存流程
添加信赖方信任
- 转到 管理工具 > AD FS。
- 在控制台树中,转到 AD FS > 信任关系 > 信赖方信任。
- 要打开向导,请单击 “添加信赖方信任”。
- 在 “选择数据源” 页上,单击 “手动输入有关回复方的数据”。
- 在 “指定显示名称” 页面上,输入回复方的名称(即 Genesys Cloud)。
- 在 “选择配置文件” 页面上,单击 AD FS 配置文件以选择 SAML。
- 跳过 “配置证书” 页面。
- 在 “配置 URL” 页中,执行以下步骤:
- 单击 启用对 SAML 2.0 WebSSO 协议的支持。
-
在复选框下方的字段中,键入基于 AWS 区域的 Genesys 云组织的以下 URL。
AWS 区域 URL
美国东部 (N. 弗吉尼亚州 https://login.mypurecloud.com/saml美国东部 2(俄亥俄州) https://login.use2.us-gov-pure.cloud/saml美国西部(俄勒冈) https://login.usw2.pure.cloud/saml加拿大(加拿大中部) https://login.cac1.pure.cloud/saml南美洲(圣保罗) https://login.sae1.pure.cloud/saml欧洲、中东和非洲(法兰克福) https://login.mypurecloud.de/saml欧洲、中东和非洲(爱尔兰) https://login.mypurecloud.ie/saml欧洲、中东和非洲(伦敦) https://login.euw2.pure.cloud/samlEMEA(阿联酋) https://login.mec1.pure.cloud/samlEMEA(苏黎世) https://login.euc2.pure.cloud/saml亚太地区(孟买) https://login.aps1.pure.cloud/saml亚太地区(首尔) https://login.apne2.pure.cloud/saml亚太地区(悉尼) https://login.mypurecloud.com.au/saml亚太地区(东京) https://login.mypurecloud.jp/saml亚太地区(大阪) https://login.apne3.pure.cloud/saml
- 在 “配置标识符” 页中,键入信赖方信任标识符的值。 该值可以是要用来标识信赖方信任的任何唯一字符串。 在对联合身份验证服务的请求中标识信赖方时,AD FS 使用前缀匹配逻辑来确定 AD FS 配置数据库中的匹配方信任。
- 在 “立即配置多重身份验证” 页面上,选择是否配置 MFA。
注意: 本文档不包括配置 MFA 的过程。 - 将所有其他设置保留为默认值,然后单击 关闭。
- 在 “信赖方信任” 页面上,右键单击您在上一过程中创建的信任,然后选择 “ 编辑声明规则”。
- 在 端点 选项卡中,单击 添加 SAML。
- 对于 端点类型,请选择 SAML 注销。
AWS 区域 URL 美国东部 (N. 弗吉尼亚州 https://login.mypurecloud.com/saml/logout美国东部 2(俄亥俄州) https://login.use2.us-gov-pure.cloud/saml/logout美国西部(俄勒冈) https://login.usw2.pure.cloud/saml/logout加拿大(加拿大中部) https://login.cac1.pure.cloud/saml/logout南美洲(圣保罗) https://login.sae1.pure.cloud/saml/logout欧洲、中东和非洲(法兰克福) https://login.mypurecloud.de/saml/logout欧洲、中东和非洲(爱尔兰) https://login.mypurecloud.ie/saml/logout欧洲、中东和非洲(伦敦) https://login.euw2.pure.cloud/saml/logoutEMEA(阿联酋) https://login.mec1.pure.cloud/saml/logoutEMEA (Zurich) https://login.euc2.pure.cloud/saml/logout亚太地区(孟买) https://login.aps1.pure.cloud/saml/logout亚太地区(首尔) https://login.apne2.pure.cloud/saml/logout亚太地区(悉尼) https://login.mypurecloud.com.au/saml/logout亚太地区(东京) https://login.mypurecloud.jp/saml/logout亚太地区(大阪) https://login.apne3.pure.cloud/saml/logout - 单击 “ 确定”。
- 在 签名 选项卡中,单击 添加。
- 选择 “获取用于 ADFS 配置的证书” 第 5 步中保存的证书,然后单击 “打开”。
- 单击 “ 确定”。
添加索赔规则
添加三条索赔规则: 电子邮件、发送电子邮件至 NameID 和组织名称。
- 在 “信赖方信任” 页面上,右键单击您在上一过程中创建的信任,然后选择 “ 编辑声明规则”。
- 添加电子邮件规则:
- 单击 添加规则。
-
使用以下设置配置声明规则:
属性 描述 索赔规则模板 选择 将 LDAP 属性作为声明发送。 声明规则名称 键入 电子邮件。 属性存储 选择 活动目录。 LDAP 属性 选择 电子邮件地址。 传出索赔类型 选择 电子邮件地址。 - 单击 “ 完成”。
- 添加电子邮件到 NameID 规则:
- 单击 添加规则。
-
使用以下设置配置声明规则:
属性 描述 索赔规则模板 选择 转换传入的索赔。 声明规则名称 键入 发送电子邮件至 NameID。 传入的索赔类型 选择 电子邮件地址。 传出索赔类型 选择 “ 名称 ID”。 传出姓名 ID 格式 选择 瞬态标识符。 通过所有索赔 选择 传递所有索赔。 -
单击 “ 完成”。
-
添加组织名称规则:
- 单击 添加规则。
-
使用以下设置配置声明规则:
属性 描述 索赔规则模板 选择使用自定义规则 发送索赔。 声明规则名称 键入 组织名称。 自定义规则 输入以下文本,并替换
OrgName使用您的 Genesys Cloud 组织的简称。组织名称区分大小写。=> issue(Type = "OrganizationName", Value = "OrgName");
- 单击 “ 完成”。
- 在 “发布转换规则” 选项卡中,确保规则按以下顺序排列:
- 电子邮件
- 发送电子邮件至 nameID
- 组织名称
SAML 属性
如果断言中存在以下 SAML 属性,Genesys Cloud 将对这些属性执行操作。 这些属性区分大小写。
| 属性名称 | 属性名称 |
|---|---|
| 组织名称 |
|
要进行身份验证的 Genesys Cloud 用户的电子邮件地址。
|
|
| 服务名称 |
成功验证后要重定向到的浏览器的有效 URL,或以下关键字之一:
|
获取 Genesys Cloud 配置的证书
- 在控制台树中,转到 AD FS > 服务 > 证书。
- 右键单击令牌签名下的证书,然后选择 查看证书。
- 单击 详细信息 选项卡,然后单击 复制到文件。
- 对于导出文件格式,请选择 Base-64 编码的 X.509 (.CER)。
- 对于文件名,请执行以下步骤:
- 单击 “ 浏览”。
- 键入文件名。
- 单击 “ 保存”。
- 单击 “ 完成”。
获取 Genesys Cloud 配置的元数据
元数据文件包含发布者 (entityID) 和用于配置 Genesys Cloud 的重定向 URL。
- 在控制台树中,转到 AD FS > 服务 > 终端节点。
- 导航到名为 FederationMetadata.xml 的文件并将其下载。
选择身份验证方法:
选择在外联网和内部网上登录 Genesys Cloud 的身份验证方法。
- 在控制台树中,转到 AD FS > 身份验证策略。
- 在主身份验证 > 全局设置下,单击 编辑。
- 在外联网下,选中 表单身份验证。
- 在内联网下,选中 窗体身份验证 和 Windows 身份验证。
- 单击 “ 确定”。
配置 Genesys 云
- 在 Genesys Cloud 中,单击 管理员。
- 在 “集成” 下, 单击 “单点登录”。
- 单击 ADFS/Azure AD(高级) 选项卡。
-
输入从 Microsoft ADFS 收集的身份提供程序元数据。
字段 描述 证书 要上传用于 SAML 签名验证的 X.509 证书,请执行以下操作之一。
- 要上传证书,请单击 “选择要上传的证书”。
- 选择 X.509 证书。
- 单击 “ 打开”。
- 或者,要加载备份证书,请重复步骤 1-3。
或者你可以:
- 拖放您的证书文件。
- 或者,要加载备份证书,请重复第一步。
上传的证书会显示其到期日期。 要删除证书,请单击 X。
注意: 要续订或更新即将到期的证书,请按照以下说明上传 X.509 证书,重复步骤 1--3。 每个 SSO 配置最多可以将五个证书上传到 Genesys Cloud,Genesys Cloud 会在单点登录和注销期间选择正确的证书。发行人 URI 从 FederationMetadata.xml 文件中输入实体 ID。 目标 URI 找到单点登录服务FederationMetadata.xml 文件中的标记,其 Binding 等于“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect”。 例如:
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”>使用“Location”属性中包含的 URL。例如:
https://your-adfs.com/adfs/ls单点注销 URI 在 FederationMetadata.xml 文件中找到 Binding 等于“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect”的 SingleLogoutService 标签,例如:
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”>使用“Location”属性中包含的 URL。例如:
https://your-adfs.com/adfs/ls单点注销绑定 选择 HTTP 重定向。 正在中继用户识别符 添加添加信赖方信任时配置的唯一标识符。 - 单击 “ 保存”。
