添加 Okta 作为单点登录提供商
先决条件:
- Single Sign-on > Provider > Add, Delete, Edit, and View permissions
- 组织 Okta 帐户中的管理员角色
- Okta 和 Genesys Cloud 中的用户电子邮件地址相同
将 Genesys Cloud 添加为组织成员可以使用 Okta 帐户凭据访问的应用程序。
注释:
- Genesys Cloud 不支持单点登录第三方身份提供商的断言加密。 Genesys Cloud 登录服务需要传输层安全性(TLS)。 由于频道是加密的,因此无需对消息的某些部分进行加密。
- 管理员可以选择禁用默认的 Genesys Cloud 登录名,并仅使用 SSO 提供商强制执行身份验证。 有关更多信息,请参阅将 Genesys Cloud 配置为仅通过 SSO 进行身份验证。
- 管理员可以选择存储四个额外的证书以确保业务连续性。 如果一份证书失效或过期,并且其他证书之一有效,则集成将被保留。
当服务提供商 (SP) 收到来自身份提供商 (IdP) 的 SAML 响应且其系统时钟不同步时,会出现一般问题。 此问题可能导致用户在登录时被锁定在单点登录之外。 此问题可能是由 SP 和 IdP 之间的时钟偏差长度引起的。 Genesys Cloud 与您的身份提供商之间的时钟偏差不得超过 10 秒。
- Genesys Cloud 桌面应用程序不支持安装浏览器扩展。如果您配置了需要浏览器扩展的 Azure 条件访问策略,则需要使用安装了 Microsoft Entra ID 扩展的 Genesys Cloud 支持的浏览器。在此配置中,使用桌面应用程序无法进行单点登录。
配置 Okta
获取 Okta 配置的证书
- 在 Genesys Cloud 中,单击 管理员。
- 在 “集成” 下, 单击 “单点登录”。
- 单击 Okta 选项卡。
- 在 Genesys 云签名证书下,单击 下载证书。
- 保存流程
创建一个 SAML 应用程序
- 为 Genesys 云创建一个 SAML 应用程序。 按照 Okta 开发人员文档中有关在 Okta 中 设置 SAML 应用程序的说明进行操作。
-
在 “ 常规” > “单点登录 URL ” 字段中,键入基于 AWS 区域的 Genesys Cloud 组织的 URL。
AWS 区域 URL 美国东部 (N. 弗吉尼亚州 https://login.mypurecloud.com/saml美国东部 2(俄亥俄州) https://login.use2.us-gov-pure.cloud/saml美国西部(俄勒冈) https://login.usw2.pure.cloud/saml加拿大(加拿大中部) https://login.cac1.pure.cloud/saml南美洲(圣保罗) https://login.sae1.pure.cloud/saml欧洲、中东和非洲(法兰克福) https://login.mypurecloud.de/saml欧盟(爱尔兰) https://login.mypurecloud.ie/saml欧盟(伦敦) https://login.euw2.pure.cloud/saml亚太地区(孟买) https://login.aps1.pure.cloud/saml亚太地区(首尔) https://login.apne2.pure.cloud/saml亚太地区(悉尼) https://login.mypurecloud.com.au/saml亚太地区(东京) https://login.mypurecloud.jp/saml -
在 “ 常规” > “ 受众 URI” 中,该值可以是您要用来标识 Genesys Cloud 组织的任何唯一字符串。
-
对于 “ 常规” > “ 姓名 ID 格式”,选择 “ 电子邮件
-
单击 显示高级设置。
- 对于 “常 规” > “ 签名证书” 字段,单击 “ 浏览”。
- 选择在 “获取 Okta 配置证书” 的步骤 5 中保存的证书文件。
- 单击 上传证书。
-
单击 常规 > 启用单次注销复 选框。
-
在 “ 常规” > “ 单次注销 URL” 中,键入基于 AWS 区域的 Genesys Cloud 组织的 URL。
AWS 区域 URL 美国东部 (N. 弗吉尼亚州 https://login.mypurecloud.com/saml美国东部 2(俄亥俄州) https://login.use2.us-gov-pure.cloud/saml/logout美国西部(俄勒冈) https://login.usw2.pure.cloud/saml加拿大(加拿大中部) https://login.cac1.pure.cloud/saml南美洲(圣保罗) https://login.sae1.pure.cloud/saml/logout欧洲、中东和非洲(法兰克福) https://login.mypurecloud.de/saml欧盟(爱尔兰) https://login.mypurecloud.ie/saml欧盟(伦敦) https://login.euw2.pure.cloud/saml亚太地区(孟买) https://login.aps1.pure.cloud/saml亚太地区(首尔) https://login.apne2.pure.cloud/saml亚太地区(悉尼) https://login.mypurecloud.com.au/saml亚太地区(东京) https://login.mypurecloud.jp/saml - 使用其他字段的默认值。
- 指定组织,以便 Genesys Cloud 用户在登录时无需输入组织。 在 属性语句(可选)中 使用以下值创建一个新条目:
字段 描述 姓名 键入 组织名称。 时间格式 保留设置为 未指定。 值 键入 Genesys Cloud 组织的简称。 如果您不知道组织的简称,请 在 Genesys Cloud 中单击 管理员 > 帐户设置 > 组织设置。
注意: 在 Okta 的应用程序配置中,不应更改其他选项。 对于诸如 “应用程序登录页面” 和 “应用程序访问错误页面” 之类的选项,首选默认选项。
SAML 属性
如果断言中存在以下额外 SAML 属性,Genesys Cloud 将对这些属性进行操作。 这些属性区分大小写。
| 属性名称 | 属性名称 |
|---|---|
要进行身份验证的 Genesys Cloud 用户的电子邮件地址。
|
|
| 服务名称 |
成功验证后要重定向到的浏览器的有效 URL,或以下关键字之一:
|
获取 Genesys Cloud 配置的元数据
- 在登录 > 设置中,单击 查看设置说明 以显示设置信息。
- 请注意 Genesys Cloud 配置所需的以下身份提供商元数据。
元数据 描述 身份提供商单点登录 URL 用于 目标 URI 在 Genesys Cloud 中设置。 身份提供商单点登录 URL 用于 Genesys Cloud 中的 目标 URI 设置。 身份提供商发行 用于 Okta 发行者 URI 在 Genesys Cloud 中设置。 X.509 证书 用于 Okta 证书 在 Genesys Cloud 中设置。
获取 Genesys Cloud 配置的证书
- 在身份提供程序元数据页面上,单击 下载证书。
- 将文件另存为 .crt 或 .pem 文件。
配置 Genesys 云
- 在 Genesys Cloud 中,单击 管理员。
- 在 “集成” 下, 单击 “单点登录”。
- 单击 Okta 选项卡。
- 提供从 Okta 收集的身份提供商元数据。
字段 描述 证书 要上传用于 SAML 签名验证的 X.509 证书,请执行以下操作之一。
- 要上传证书,请单击 “选择要上传的证书”。
- 选择 X.509 证书。
- 单击 “ 打开”。
- 或者,要加载备份证书,请重复步骤 1-3。
或者你可以:
- 拖放您的证书文件。
- 或者,要加载备份证书,请重复第一步。
上传的证书会显示其到期日期。 要删除证书,请单击 X。
注意: 要续订或更新即将到期的证书,请按照以下说明上传 X.509 证书,重复步骤 1--3。 每个 SSO 配置最多可以将五个证书上传到 Genesys Cloud,Genesys Cloud 会在单点登录和注销期间选择正确的证书。发行人 URI 输入身份提供者颁发者。 目标 URL 键入 身份提供商单点登录 URL。 单点注销 URI 键入 身份提供商单点登录 URL。 单点注销绑定 选择 HTTP 重定向。 受众(实体 ID) 键入 “创建 SAML 应用程序” 步骤 3 中使用的值。 - 单击 “ 保存”。
