添加 Okta 作为单点登录提供商

先决条件:
  • Single Sign-on > Provider > Add, Delete, Edit, and View permissions
  • 组织 Okta 帐户中的管理员角色
  • Okta 和 Genesys Cloud 中的用户电子邮件地址相同

将 Genesys Cloud 添加为组织成员可以使用 Okta 帐户凭据访问的应用程序。

注释:
  • Genesys Cloud 不支持单点登录第三方身份提供商的断言加密。 Genesys Cloud 登录服务需要传输层安全性(TLS)。 由于频道是加密的,因此无需对消息的某些部分进行加密。
  • 管理员可以选择禁用默认的 Genesys Cloud 登录名,并仅使用 SSO 提供商强制执行身份验证。 有关更多信息,请参阅将 Genesys Cloud 配置为仅通过 SSO 进行身份验证
  • 管理员可以选择存储四个额外的证书以确保业务连续性。 如果一份证书失效或过期,并且其他证书之一有效,则集成将被保留。 
  • 当服务提供商 (SP) 收到来自身份提供商 (IdP) 的 SAML 响应且其系统时钟不同步时,会出现一般问题。 此问题可能导致用户在登录时被锁定在单点登录之外。 此问题可能是由 SP 和 IdP 之间的时钟偏差长度引起的。 Genesys Cloud 与您的身份提供商之间的时钟偏差不得超过 10 秒。

  • Genesys Cloud 桌面应用程序不支持安装浏览器扩展。如果您配置了需要浏览器扩展的 Azure 条件访问策略,则需要使用安装了 Microsoft Entra ID 扩展的 Genesys Cloud 支持的浏览器。在此配置中,使用桌面应用程序无法进行单点登录。

配置 Okta

获取 Okta 配置的证书

  1. 在 Genesys Cloud 中,单击 管理员
  2. 在 “集成” 下, 单击 “单点登录”
  3. 单击 Okta 选项卡。
  4. Genesys 云签名证书下,单击 下载证书
  5. 保存流程

创建一个 SAML 应用程序

  1. 为 Genesys 云创建一个 SAML 应用程序。 按照 Okta 开发人员文档中有关在 Okta 中 设置 SAML 应用程序的说明进行操作
  2. 在 “ 常规” > “单点登录 URL ” 字段中,键入基于 AWS 区域的 Genesys Cloud 组织的 URL。

    AWS 区域 URL
    美国东部 (N. 弗吉尼亚州 https://login.mypurecloud.com/saml
    美国东部 2(俄亥俄州) https://login.use2.us-gov-pure.cloud/saml
    美国西部(俄勒冈) https://login.usw2.pure.cloud/saml 
    加拿大(加拿大中部) https://login.cac1.pure.cloud/saml 
    南美洲(圣保罗) https://login.sae1.pure.cloud/saml 
    欧洲、中东和非洲(法兰克福) https://login.mypurecloud.de/saml
    欧洲、中东和非洲(爱尔兰) https://login.mypurecloud.ie/saml 
    欧洲、中东和非洲(伦敦) https://login.euw2.pure.cloud/saml
    EMEA(阿联酋) https://login.mec1.pure.cloud/saml
    EMEA(苏黎世) https://login.euc2.pure.cloud/saml
    亚太地区(孟买) https://login.aps1.pure.cloud/saml
    亚太地区(首尔) https://login.apne2.pure.cloud/saml 
    亚太地区(悉尼) https://login.mypurecloud.com.au/saml
    亚太地区(东京) https://login.mypurecloud.jp/saml
    亚太地区(大阪) https://login.apne3.pure.cloud/saml
  3. 在 “ 常规” > “ 受众 URI” 中,该值可以是您要用来标识 Genesys Cloud 组织的任何唯一字符串。

  4. 对于 “ 常规” > “ 姓名 ID 格式”,选择 “ 电子邮

  5. 单击 显示高级设置。

  6. 对于 “常 规” > “ 签名证书” 字段,单击 “ 浏览”。
  7. 选择在 “获取 Okta 配置证书” 的步骤 5 中保存的证书文件。
  8. 单击 上传证书
  9. 单击 常规 > 启用单次注销复 选框。

  10. 在 “ 常规” > “ 单次注销 URL” 中,键入基于 AWS 区域的 Genesys Cloud 组织的 URL。

    AWS 区域 URL
    美国东部 (N. 弗吉尼亚州 https://login.mypurecloud.com/saml/logout
    美国东部 2(俄亥俄州) https://login.use2.us-gov-pure.cloud/saml/logout
    美国西部(俄勒冈) https://login.usw2.pure.cloud/saml/logout 
    加拿大(加拿大中部) https://login.cac1.pure.cloud/saml/logout 
    南美洲(圣保罗) https://login.sae1.pure.cloud/saml/logout 
    欧洲、中东和非洲(法兰克福) https://login.mypurecloud.de/saml/logout
    欧洲、中东和非洲(爱尔兰) https://login.mypurecloud.ie/saml/logout 
    欧洲、中东和非洲(伦敦) https://login.euw2.pure.cloud/saml/logout
    EMEA (UAE)
    https://login.mec1.pure.cloud/saml/logout
    EMEA(苏黎世)
    https://login.euc2.pure.cloud/saml/logout
    亚太地区(孟买) https://login.aps1.pure.cloud/saml/logout
    亚太地区(首尔) https://login.apne2.pure.cloud/saml/logout 
    亚太地区(悉尼) https://login.mypurecloud.com.au/saml/logout
    亚太地区(东京) https://login.mypurecloud.jp/saml/logout
    亚太地区(大阪) https://login.apne3.pure.cloud/saml/logout
  11. 使用其他字段的默认值。
  12. 指定组织,以便 Genesys Cloud 用户在登录时无需输入组织。 在 属性语句(可选)中 使用以下值创建一个新条目: 
    字段 描述
    姓名 键入 组织名称
    时间格式 保留设置为 未指定
    键入 Genesys Cloud 组织的简称。 如果您不知道组织的简称,请 在 Genesys Cloud 中单击 管理员 > 帐户设置 > 组织设置。
注意: 在 Okta 的应用程序配置中,不应更改其他选项。 对于诸如 “应用程序登录页面” 和 “应用程序访问错误页面” 之类的选项,首选默认选项。

SAML 属性

如果断言中存在以下额外 SAML 属性,Genesys Cloud 将对这些属性进行操作。 这些属性区分大小写。 

属性名称 属性名称
email  要进行身份验证的 Genesys Cloud 用户的电子邮件地址。
  • 必须是 Genesys Cloud 的现有用户。
  • 如果身份提供商未使用电子邮件地址作为主题 NameID,则您需要一个有效的电子邮件地址。
服务名称 

成功验证后要重定向到的浏览器的有效 URL,或以下关键字之一:

  • 目录(重定向到 Genesys 云协作客户端)
  • 目录管理员(重定向到 Genesys Cloud 管理员 UI)

获取 Genesys Cloud 配置的元数据

  1. 在登录 > 设置中,单击 查看设置说明 以显示设置信息。
  2. 请注意 Genesys Cloud 配置所需的以下身份提供商元数据。 
    元数据 描述
    身份提供商单点登录 URL 用于 目标 URI 在 Genesys Cloud 中设置。
    身份提供商单点登录 URL 用于 Genesys Cloud 中的 目标 URI 设置。
    身份提供商发行 用于 Okta 发行者 URI 在 Genesys Cloud 中设置。
    X.509 证书 用于 Okta 证书 在 Genesys Cloud 中设置。

获取 Genesys Cloud 配置的证书

  1. 在身份提供程序元数据页面上,单击 下载证书
  2. 将文件另存为 .crt.pem 文件。

配置 Genesys 云

  1. 在 Genesys Cloud 中,单击 管理员
  2. 在 “集成” 下, 单击 “单点登录”
  3. 单击 Okta 选项卡。
  4. 提供从 Okta 收集的身份提供商元数据。
    字段 描述
    证书

    要上传用于 SAML 签名验证的 X.509 证书,请执行以下操作之一。

    1. 要上传证书,请单击 “选择要上传的证书”
    2. 选择 X.509 证书。
    3. 单击 “ 打开”
    4. 或者,要加载备份证书,请重复步骤 1-3。

    或者你可以:

    1. 拖放您的证书文件。
    2. 或者,要加载备份证书,请重复第一步。

    上传的证书会显示其到期日期。 要删除证书,请单击 X

    注意: 要续订或更新即将到期的证书,请按照以下说明上传 X.509 证书,重复步骤 1--3。 每个 SSO 配置最多可以将五个证书上传到 Genesys Cloud,Genesys Cloud 会在单点登录和注销期间选择正确的证书。

    发行人 URI 输入身份提供者颁发者。
    目标 URL 键入 身份提供商单点登录 URL。 
    单点注销 URI 键入 身份提供商单点登录 URL。
    单点注销绑定 选择 HTTP 重定向。
    受众(实体 ID)  键入 “创建 SAML 应用程序” 步骤 3 中使用的值。
  5. 单击 “ 保存”