添加 Microsoft Entra ID 作为单点登录提供商

先决条件:
  • 单点登录 > 提供程序 > 添加、删除、编辑、查看 权限
  • 您组织的 Microsoft Entra ID Premium 或免费帐户中的管理员角色
  • 两个平台的用户电子邮件地址相同恩特拉身份证和 Genesys Cloud
  • 任何支持 SAML 2.0 的 Microsoft Entra ID Premium 版本(配置有所不同,取决于版本)。
  • 或者支持 SSO 的免费 Microsoft Entra ID 订阅

添加 Genesys Cloud 作为应用程序,组织成员可以使用其 Microsoft Entra ID Premium 或免费 Microsoft Entra ID 帐户的凭据进行访问。

注释:
  • Genesys Cloud 不支持单点登录第三方身份提供商的断言加密。 Genesys Cloud 登录服务需要传输层安全性(TLS)。 由于频道是加密的,因此无需对消息的某些部分进行加密。
  • 管理员可以选择禁用默认的 Genesys Cloud 登录名,并仅使用 SSO 提供商强制执行身份验证。 有关更多信息,请参阅将 Genesys Cloud 配置为仅通过 SSO 进行身份验证
  • 管理员可以选择存储四个额外的证书以确保业务连续性。 如果一份证书失效或过期,并且其他证书之一有效,则集成将被保留。 

  • 当服务提供商 (SP) 收到来自身份提供商 (IdP) 的 SAML 响应且其系统时钟不同步时,会出现一般问题。 此问题可能导致用户在登录时被锁定在单点登录之外。 此问题可能是由 SP 和 IdP 之间的时钟偏差长度引起的。 Genesys Cloud 与您的身份提供商之间的时钟偏差不得超过 10 秒。

  • Genesys Cloud 桌面应用程序不支持安装浏览器扩展。如果您配置了需要浏览器扩展的 Azure 条件访问策略,则需要使用安装了 Microsoft Entra ID 扩展的 Genesys Cloud 支持的浏览器。在此配置中,使用桌面应用程序无法进行单点登录。

配置 Microsoft Entra ID

您可以配置 Genesys Cloud 库应用程序(首选方法)或创建自定义 Genesys Cloud 应用程序。

  1. 点击微软Entra ID >企业应用
  2. 单击 新建应用程序
  3. 在搜索框中,键入“Genesys Cloud for Azure”。
  4. 单击应用程序,为其添加名称,然后单击 创建

    注意: 选择 Genesys Labs Inc. 发布的那个

  5. 单击单点登录。
  6. 单击 SAML
  7. 在基本 SAML 配置中,单击编辑并在中输入适当的 Genesys Cloud SAML 登录 URL回复网址字段,然后在中输入注销 URL注销网址场地。
    识符 (entityID) 可以是 Azure 实例唯一的任何值。 该表显示回复网址注销网址您的 Genesys Cloud 组织,基于AWS区域:
    AWS 区域

    回复网址

    注销 URL
    美国东部 (N. 弗吉尼亚州

    https://login.mypurecloud.com/saml

    https://login.mypurecloud.com/saml
    美国东部 2(俄亥俄州)

    https://login.use2.us-gov-pure.cloud/saml

    https://login.use2.us-gov-pure.cloud/saml/logout
    美国西部(俄勒冈)

    https://login.usw2.pure.cloud/saml 

    https://login.usw2.pure.cloud/saml
    加拿大(加拿大中部)

    https://login.cac1.pure.cloud/saml 

    https://login.cac1.pure.cloud/saml
    南美洲(圣保罗)

    https://login.sae1.pure.cloud/saml 

    https://login.sae1.pure.cloud/saml/logout
    欧洲、中东和非洲(法兰克福)

    https://login.mypurecloud.de/saml

    https://login.mypurecloud.de/saml
    欧盟(爱尔兰)

    https://login.mypurecloud.ie/saml 

    https://login.mypurecloud.ie/saml
    欧盟(伦敦)

    https://login.euw2.pure.cloud/saml

    https://login.euw2.pure.cloud/saml
    中东(阿联酋)

    https://login.mec1.pure.cloud/saml

    https://login.mec1.pure.cloud/logout
    亚太地区(孟买)

    https://login.aps1.pure.cloud/saml

    https://login.aps1.pure.cloud/saml
    亚太地区(首尔)

    https://login.apne2.pure.cloud/saml

    https://login.apne2.pure.cloud/saml
    亚太地区(悉尼)

    https://login.mypurecloud.com.au/saml

    https://login.mypurecloud.com.au/saml
    亚太地区(东京) https://login.mypurecloud.jp/saml https://login.mypurecloud.jp/saml
  8. 在用户属性和声明中,单击 编辑 并键入这些属性名称。 要添加自定义声明,请在下拉列表上方的源属性字段中键入自定义属性名称。
    注意: 属性名称区分大小写。 按照它们在表中的显示方式键入它们。 不要在声明中使用命名空间。

    属性名称 属性名称
    email 

    user.userPrincipalName

    注释:

    • 对于电子邮件索赔,创建一个名为 email 的新索赔。

    • 指用户在 Genesys Cloud 中的电子邮件地址。 通常,电子邮件地址是 user.userprincipalname, 如果 Azure 管理员具有不同的用户主体名称 (UPN) 和电子邮件,使用 user.email (或作为 user.mail)。

    • 大小 写必须与 在 Genesys Cloud 中为该用户设置的电子邮件地址的大小写一致。

      Genesys Cloud 将电子邮件地址更改为小写。 如果 AD 使用大写字母(例如 John.Smith@company.com)通过电子邮件发送,则必须在电子邮件声明中添加小写转换。 

      1. 在管理索赔中,选择 转换
      2. 在管理转换中,将转换设置为 toLowerCase ()。
      3. 将参数设置为 user.mail。

    • 名称声明还必须与电子邮件声明相匹配。

      例如,如果您以 jsmith@company.com (user.userprincipalname) 身份登录 AD,但您在 Genesys Cloud 中的实际电子邮件地址是 john.smith@company.com,则不能使用 user.userprincipalname。 使用 user.mail 或 user.email,具体取决于 Azure 系统中的内容。 不要输入命名空间信息。
      组织名称  您的 Genesys Cloud 组织简称
      服务名称

      成功验证后要重定向到的浏览器的有效 URL,或以下关键字之一:

      • 目录(重定向到 Genesys 云协作客户端)
      • 目录管理员(重定向到 Genesys Cloud 管理员 UI)
    • 在 SAML 签名证书中,单击 证书(Base 64) 下载它。
    • 在下面 为 Azure 设置 Genesys Cloud,注意 登录网址, Azure AD 标识符, 和 注销网址. 使用它们在 Genesys Cloud 中配置目标 URI 和颁发者 URI。

    1. 点击微软Entra ID >企业应用
    2. 单击 新建应用程序
    3. 在添加应用程序中,单击 非库应用程序。
    4. 在名称字段中,输入“Genesys Cloud”。
    5. 单击单点登录。
    6. 单击 SAML
    7. 在基本 SAML 配置中,单击编辑并在中输入适当的 Genesys Cloud SAML 登录 URL回复网址字段,然后在中输入注销 URL注销网址场地。
      识符 (entityID) 可以是 Azure 实例唯一的任何值。 该表显示回复网址注销网址您的 Genesys Cloud 组织,基于AWS区域:
      AWS 区域

      回复网址

      注销 URL
      美国东部 (N. 弗吉尼亚州

      https://login.mypurecloud.com/saml

      https://login.mypurecloud.com/saml
      美国东部 2(俄亥俄州)

      https://login.use2.us-gov-pure.cloud/saml

      https://login.use2.us-gov-pure.cloud/saml/logout
      美国西部(俄勒冈)

      https://login.usw2.pure.cloud/saml 

      https://login.usw2.pure.cloud/saml
      加拿大(加拿大中部)

      https://login.cac1.pure.cloud/saml 

      https://login.cac1.pure.cloud/saml
      南美洲(圣保罗)

      https://login.sae1.pure.cloud/saml 

      https://login.sae1.pure.cloud/saml/logout
      欧洲、中东和非洲(法兰克福)

      https://login.mypurecloud.de/saml

      https://login.mypurecloud.de/saml
      欧盟(爱尔兰)

      https://login.mypurecloud.ie/saml 

      https://login.mypurecloud.ie/saml
      欧盟(伦敦)

      https://login.euw2.pure.cloud/saml

      https://login.euw2.pure.cloud/saml
      亚太地区(孟买)

      https://login.aps1.pure.cloud/saml

      https://login.aps1.pure.cloud/saml
      亚太地区(首尔)

      https://login.apne2.pure.cloud/saml

      https://login.apne2.pure.cloud/saml
      亚太地区(悉尼)

      https://login.mypurecloud.com.au/saml

      https://login.mypurecloud.com.au/saml
      亚太地区(东京) https://login.mypurecloud.jp/saml https://login.mypurecloud.jp/saml
    8. 在用户属性和声明中,单击 编辑 并键入这些属性名称。 要添加自定义声明,请在下拉列表上方的源属性字段中键入自定义属性名称。
      注意: 属性名称区分大小写。 按照它们在表中的显示方式键入它们。 不要在声明中使用命名空间。

      属性名称 属性名称
      email 

      user.userPrincipalName

      注释:

      • 指用户在 Genesys Cloud 中的电子邮件地址。 通常,电子邮件地址是 user.userprincipalname,但如果 Azure 管理员有不同的用户主体名称 (UPN) 和电子邮件,使用 user.email。

        例如,如果您以 jsmith@company.com (user.userprinicpalname) 身份登录 AD,但您的实际电子邮件地址是 john.smith@company.com,请使用 user.mail 或 user.email,具体取决于您在天青系统。 不要输入命名空间信息。

      • 大小写必须与在 Genesys Cloud 中为该用户设置的电子邮件地址的大小写一致。 Genesys Cloud 将电子邮件默认为小写。

        如果 AD 使用大写字母(例如 John.Smith@company.com)通过电子邮件发送,则必须在电子邮件声明中添加小写转换。 
      组织名称  您的 Genesys Cloud 组织简称
      服务名称

      (可选)身份验证成功后要重定向到的浏览器的有效网址,或以下关键字之一:

      • 目录(重定向到 Genesys 云协作客户端)
      • 目录管理员(重定向到 Genesys Cloud 管理员 UI)
    9. 在 SAML 签名证书中,单击 证书(Base 64) 下载它。
    10. 在下面 为 Azure 设置 Genesys Cloud,注意 登录网址, Azure AD 标识符, 和 注销网址. 使用它们在 Genesys Cloud 中配置目标 URI 和颁发者 URI。

    将用户和组分配给 Genesys Cloud 应用程序

    配置 Genesys Cloud 图库或自定义 Genesys Cloud 应用程序后,分配用户和组使用 Microsoft Entra ID 作为身份提供者登录 Genesys Cloud。

    1. 在 Genesys Cloud 自定义应用程序中,单击 用户和组
    2. 单击 添加用户
    3. 单击相应的用户和组。
    4. 单击 “ 分配”

    配置 Genesys 云

    Genesys Cloud 配置适用于 Genesys Cloud 图库应用程序和自定义 Genesys Cloud 应用程序。

    1. 在 Genesys Cloud 中,单击 管理员
    2. 在 “集成” 下, 单击 “单点登录”。
    3. 点击ADFS/Microsoft Entra ID(高级版)标签。

    4. 键入从 Microsoft Entra ID 收集的身份提供者元数据。

      字段 描述
      证书

      要上传用于 SAML 签名验证的 X.509 证书,请执行以下操作之一。

      1. 要上传证书,请单击 “选择要上传的证书”
      2. 选择 X.509 证书。
      3. 单击 “ 打开”
      4. 或者,要加载备份证书,请重复步骤 1-3。

      或者你可以:

      1. 拖放您的证书文件。
      2. 或者,要加载备份证书,请重复第一步。

      上传的证书会显示其到期日期。 要删除证书,请单击 X

      注意: 要续订或更新即将到期的证书,请按照以下说明上传 X.509 证书,重复步骤 1--3。 每个 SSO 配置最多可以将五个证书上传到 Genesys Cloud,Genesys Cloud 会在单点登录和注销期间选择正确的证书。

      发行人 URI

      键入Azure AD 标识符来自 Microsoft Entra ID Genesys Cloud 自定义应用程序。

      注意: 发行者 URI 是一个 URL,而不仅仅是 ID。 URL 的格式应为 'https://sts.windows.net/1234abcd5678efgh',其中 GUID 是 Azure 中的实体 ID。
      目标 URI 键入登录网址Microsoft Entra ID Genesys Cloud 定制应用程序。 
      单点注销 URI 键入登出网址来自 Microsoft Entra ID Genesys Cloud 自定义应用程序。
      单点注销绑定 选择 HTTP 重定向
      正在中继用户识别符

      键入标识符(实体 ID)来自 Microsoft Entra ID Genesys Cloud 定制应用程序


      注意: SAML 资源是 Microsoft Entra ID 内应用程序的默认资源。我们建议使用 SAML 资源作为实体 ID,因为它是唯一的且随时可用。如果您在 Microsoft Entra ID 实例上运行 SSO 集成的多个实例,则可以使用唯一标识符,只要 Genesys Cloud 中的 IDP 配置在依赖方标识符场地。Genesys Cloud 使用此值向 IDP 识别自己。
    5. 单击 “ 保存”

    测试 Microsoft Entra ID Genesys Cloud 应用程序

    Microsoft Entra ID Genesys 云应用程序测试适用于 Genesys Cloud 图库应用程序和自定义 Genesys Cloud 应用程序。

    • 在 Microsoft Entra ID 中的单点登录详细信息视图中,单击测试此应用程序