将 OneLogin 添加为单点登录提供商

必备
  • 单点登录 > 提供程序 > 添加、删除、编辑、查看 权限
  • 组织的 OneLogin 帐户中的管理员角色
  • OneLogin 桌面单点登录 (SSO) 不可用
  • OneLogin 和 Genesys Cloud 中的用户电子邮件地址相同

将 Genesys Cloud 添加为组织成员可以使用其 OneLogin 帐户凭据访问的应用程序。

注释:
  • Genesys Cloud 不支持单点登录第三方身份提供商的断言加密。 Genesys Cloud 登录服务需要传输层安全性(TLS)。 由于频道是加密的,因此无需对消息的某些部分进行加密。
  • 管理员可以选择禁用默认的 Genesys Cloud 登录名,并仅使用 SSO 提供商强制执行身份验证。 有关更多信息,请参阅将 Genesys Cloud 配置为仅通过 SSO 进行身份验证
  • 管理员可以选择存储四个额外的证书以确保业务连续性。 如果一份证书失效或过期,并且其他证书之一有效,则集成将被保留。 

  • 当服务提供商 (SP) 收到来自身份提供商 (IdP) 的 SAML 响应且其系统时钟不同步时,会出现一般问题。 此问题可能导致用户在登录时被锁定在单点登录之外。 此问题可能是由 SP 和 IdP 之间的时钟偏差长度引起的。 Genesys Cloud 与您的身份提供商之间的时钟偏差不得超过 10 秒。

  • Genesys Cloud 桌面应用程序不支持安装浏览器扩展。如果您配置了需要浏览器扩展的 Azure 条件访问策略,则需要使用安装了 Microsoft Entra ID 扩展的 Genesys Cloud 支持的浏览器。在此配置中,使用桌面应用程序无法进行单点登录。

配置 OneLogin

创建一个 SAML 应用程序

  1. 添加名为 SAML 测试连接器 (LDP) 的 OneLogin 应用程序。
  2. 在应用程序页面中,单击 配置 选项卡。 

  3. 填写以下字段,并将其余字段留空。

    字段 描述
    受众(实体 ID)

    键入用于向身份提供者标识您的组织的值,即“genesys.cloud.my-org”。
    ACS(消费者)URL 验证器

    键入 AWS 区域的 Genesys Cloud 组织的 URL:

    美国东部 (N. 弗吉尼亚州): 键入 ^https:\/\ /登录\ .mypurecloud\ .com\ /saml
    美国东部 2(俄亥俄州): ^https:\/\ /login\ .use2.us-gov-pure\ .cloud\ /saml
    美国西部(俄勒冈州): https://login.usw2.pure.cloud/saml
    加拿大(加拿大中部): https://login.cac1.pure.cloud/saml
    南美洲(圣保罗)^https:\/\ /login\ .sae1\ .pure\ .cloud\ /saml
    欧洲、中东和非洲(法兰克福) https://login.mypurecloud.de/saml
    欧盟(爱尔兰) https://login.mypurecloud.ie/saml
    欧盟(伦敦) https://login.euw2.pure.cloud/saml
    亚太地区(孟买) https://login.aps1.pure.cloud/saml
    亚太地区(首尔) https://login.apne2.pure.cloud/saml
    亚太地区(悉尼) https://login.mypurecloud.com.au/saml
    亚太地区(东京) https://login.mypurecloud.jp/saml
    ACS(消费者)URL

    键入 AWS 区域的 Genesys 云组织的 URL:
    美国东部 (N. 弗吉尼亚州): https://login.mypurecloud.com/saml
    美国东部 2(俄亥俄州): https://login.use2.us-gov-pure.cloud/saml
    美国西部(俄勒冈州): https://login.usw2.pure.cloud/saml
    加拿大(加拿大中部): https://login.cac1.pure.cloud/saml
    南美洲(圣保罗): https://login.sae1.pure.cloud/saml
    欧洲、中东和非洲(法兰克福) https://login.mypurecloud.de/saml
    欧盟(爱尔兰) https://login.mypurecloud.ie/saml
    欧盟(伦敦): https://login.euw2.pure.cloud/saml
    亚太地区(孟买): https://login.aps1.pure.cloud/saml
    亚太地区(首尔): https://login.apne2.pure.cloud/saml
    亚太地区(悉尼)     https://login.mypurecloud.com.au/saml
    亚太地区(东京) https://login.mypurecloud.jp/saml
    单点注销 URI

    键入 AWS 区域的 Genesys Cloud 组织的 URL:

    美国东部 (N. 弗吉尼亚州): https://login.mypurecloud.com/saml
    美国东部 2(俄亥俄州): https://login.use2.us-gov-pure.cloud/saml/logout
    美国西部(俄勒冈州):     https://login.usw2.pure.cloud/saml
    加拿大(加拿大中部): https://login.cac1.pure.cloud/saml
    南美洲(圣保罗): https://login.sae1.pure.cloud/saml/logout
    欧洲、中东和非洲(法兰克福) https://login.mypurecloud.de/saml
    欧盟(爱尔兰) https://login.mypurecloud.ie/saml 欧盟(伦敦):
    https://login.euw2.pure.cloud/saml 亚太地区(孟买):
    https://login.aps1.pure.cloud/saml 亚太地区(首尔):
    https://login.apne2.pure.cloud/saml
    亚太地区(悉尼)     https://login.mypurecloud.com.au/saml
    亚太地区(东京) https://login.mypurecloud.jp/saml
    签署 SLO 请求

    选中此框。
    签署 SLO 响应

    选中此框。
  4. 单击 参数 选项卡。
  5. 单击 添加参数
  6. 填写以下字段。 
    字段 描述
    姓名 键入 组织名称
    旗帜 选中 包含在 SAML 断言中
  7. 单击 “ 保存”
  8. 点击新建的 机构名称 范围。
  9. 在 “值” 字段中:
    1. 从列表中选择
    2. 键入您的 Genesys Cloud 组织的简称。 如果您不知道组织的简称,请单击 管理员 > 帐户设置 > 组织设置 在 Genesys 云中。 
  10. 单击 “ 保存”

SAML 属性

如果断言中存在以下额外 SAML 属性,则 Genesys Cloud 将作用于这些属性。 属性区分大小写。 

属性名称 属性名称
email  必须对 Genesys Cloud 用户的电子邮件地址进行身份验证。
  • 必须是 Genesys Cloud 的现有用户。
  • 如果身份提供者不使用电子邮件地址作为主题 NameID,您需要一个有效的电子邮件地址。
服务名称 

成功验证后要重定向到的浏览器的有效 URL,或以下关键字之一:

  • 目录(重定向到 Genesys 云协作客户端)
  • 目录管理员(重定向到 Genesys Cloud 管理员 UI)

获取 Genesys Cloud 配置的证书

  1. 单击 SSO 选项卡。
  2. 在证书下,单击 查看详细信息
  3. 在 X.509 证书下,选择“X.509 PEM”并单击 下载.
  4. 将证书保存到文本文件中。

获取 Genesys Cloud 配置的元数据

注意: Genesys Cloud 仅支持 http 重定向的 SAML URL。 默认情况下,OneLogin SSO 选项卡不再在 SAML 2.0 端点 (HTTP) 字段中显示此 URL。 (现在它显示的是 http-post URL。) 但是,在 SAML 元数据文件中仍然可以使用 http 重定向 URL。
  1. 单击 SSO 选项卡。
  2. 将 Genesys Cloud 配置所需的以下元数据复制到文本文件中。 
    字段 描述
    发行者 URL 从 “ 颁发者 URL ” 字段中复制 URL。
    SAML 2.0 终端节点 (HTTP)
    1. 在 “更多操作” 下,单击 SAML 元数据
    2. 下载并打开 SAML 元数据文件。
    3. 找到绑定等于“urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect”的 SingleSignOnService 标记 例如:  <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-organization/onelogin.com/trust/saml2/http-redirect/sso/123456>
    4. 复制“Location =”后面的 URL,例如:
      https://your-organization/onelogin.com/trust/saml2/http-redirect/sso/123456
    SLO 终端节点 (HTTP) 从 SLO 终端节点 (HTTP) 字段复制 URL。

配置 Genesys 云

  1. 在 Genesys Cloud 中,单击 管理员
  2. 在 “集成” 下, 单击 “单点登录”
  3. 单击 OneLogin 选项卡。
  4. 输入在上一个过程中收集的信息:
    字段 描述
    证书

    要上传用于 SAML 签名验证的 X.509 证书,请执行以下操作之一。

    1. 要上传证书,请单击 “选择要上传的证书”
    2. 选择 X.509 证书。
    3. 单击 “ 打开”
    4. 或者,要加载备份证书,请重复步骤 1-3。

    或者你可以:

    1. 拖放您的证书文件。
    2. 或者,要加载备份证书,请重复第一步。

    上传的证书会显示其到期日期。 要删除证书,请单击 X

    注意: 要续订或更新即将到期的证书,请按照以下说明上传 X.509 证书,重复步骤 1--3。 每个 SSO 配置最多可以将五个证书上传到 Genesys Cloud,Genesys Cloud 会在单点登录和注销期间选择正确的证书。

    OneLogin 发行者 URI 在 OneLogin 的 “发行者 URL” 字段中键入 URL。
    目标 URL

    在 SAML 2.0 终端节点 (HTTP) 字段中键入 URL。 
    单点注销 URI

    在 OneLogin 中键入 SLO 终端节点 (HTTP) 字段中的 URL。
    单点注销绑定 选择 HTTP 重定向。
    受众(实体 ID)  键入 OneLogin 受众群体 (entityID) 值。 确保此值在 Genesys Cloud 和 OneLogin 中都相同。 
  5. 单击 “ 保存”