添加 Ping Identity 作为单点登录提供商
先决条件:
- 单点登录 > 提供程序 > 添加、删除、编辑、查看 权限
- 组织的 Ping Identity 账户中的管理员角色
- Ping Identity 和 Genesys Cloud 中的用户电子邮件地址相同
将 Genesys Cloud 添加为组织成员可以使用其 Ping Identity 帐户凭据访问的应用程序。
注释:
- Genesys Cloud 不支持单点登录第三方身份提供商的断言加密。 Genesys Cloud 登录服务需要传输层安全性(TLS)。 由于频道是加密的,因此无需对消息的某些部分进行加密。
- 管理员可以选择禁用默认的 Genesys Cloud 登录名,并仅使用 SSO 提供商强制执行身份验证。 有关更多信息,请参阅将 Genesys Cloud 配置为仅通过 SSO 进行身份验证。
- 管理员可以选择存储四个额外的证书以确保业务连续性。 如果一份证书失效或过期,并且其他证书之一有效,则集成将被保留。
当服务提供商 (SP) 收到来自身份提供商 (IdP) 的 SAML 响应且其系统时钟不同步时,会出现一般问题。 此问题可能导致用户在登录时被锁定在单点登录之外。 此问题可能是由 SP 和 IdP 之间的时钟偏差长度引起的。 Genesys Cloud 与您的身份提供商之间的时钟偏差不得超过 10 秒。
- Genesys Cloud 桌面应用程序不支持安装浏览器扩展。如果您配置了需要浏览器扩展的 Azure 条件访问策略,则需要使用安装了 Microsoft Entra ID 扩展的 Genesys Cloud 支持的浏览器。在此配置中,使用桌面应用程序无法进行单点登录。
配置 Ping 身份
创建自定义 Genesys Cloud 应用程序
- 在 PingIdentity 中,单击 连接 > 应用程序。
- 单击应 用程序 旁边的加号。
- 单击 Web 应用程序 ,然后 为 SAML 选项单击配置。
- 在 “ 创建应用程序配置文件 ” 页面中,填写以下字段,然后将其余字段留空或保留为默认设置。
字段 描述 应用程序标签 键入您的 Genesys Cloud 应用程序名称。 应用说明 键入应用程序的简短描述。 - 在 “ 配置 SAML 连接 ” 页中, 填写以下字段,并将其余字段留空或保留为默认设置。
字段 描述 ACS 网址 键入 AWS 区域的 Genesys 云组织的 URL:
美国东部 (N. 弗吉尼亚州):https://login.mypurecloud.com/saml
美国东部 2: (俄亥俄州):https://login.use2.us-gov-pure.cloud/saml
美国西部(俄勒冈州):https://login.usw2.pure.cloud/saml加拿大(加拿大中部):
https://login.cac1.pure.cloud/saml
南美洲(圣保罗):https://login.sae1.pure.cloud/saml
欧洲、中东和非洲(法兰克福)https://login.mypurecloud.de/saml
欧盟(爱尔兰)https://login.mypurecloud.ie/saml
欧盟(伦敦):https://login.euw2.pure.cloud/saml
亚太地区(孟买):https://login.aps1.pure.cloud/saml
亚太地区(首尔)https://login.apne2.pure.cloud/saml
亚太地区(悉尼):https://login.mypurecloud.com.au/saml
亚太地区(东京)https://login.mypurecloud.jp/saml签名密钥 - 单击 下载签名证书。
- 选择 X509 PEM (.crt)。
- 保存流程
签名算法 选择 RSA_SHA256。 实体 ID 键入要用于标识 Genesys Cloud 组织的唯一字符串,例如: genesys.cloud.my-org。SLO 端点 键入 AWS 区域的 Genesys 云组织的 URL:
美国东部 (N. 弗吉尼亚州):https://login.mypurecloud.com/saml
美国东部 2(俄亥俄州):https://login.use2.us-gov-pure.cloud/saml/logout
美国西部(俄勒冈州):https://login.usw2.pure.cloud/saml加拿大(加拿大中部):
https://login.cac1.pure.cloud/saml
南美洲(圣保罗):https://login.sae1.pure.cloud/saml/logout
欧洲、中东和非洲(法兰克福)https://login.mypurecloud.de/saml
欧盟(爱尔兰)https://login.mypurecloud.ie/saml 欧盟(伦敦):
https://login.euw2.pure.cloud/saml 亚太地区(孟买):
https://login.aps1.pure.cloud/saml
亚太地区(首尔)https://login.apne2.pure.cloud/saml 亚太地区(悉尼):
https://login.mypurecloud.com.au/saml
亚太地区(东京)https://login.mypurecloud.jp/samlSLO 绑定 选择 HTTP 重定向。 主题名称 ID 格式 选择 “URN: OASIS: Name: TC: SAML: 1.1: 名称 ID 格式:电子邮件地址”。 断言有效期(以秒为单位) 键入一个值,该值确定 SAML 身份验证响应中的断言有效期。 60秒就足够了。 - 在 SSO 属性映射屏幕中,添加这些属性。
属性 描述 电子邮件 选择 电子邮件地址。
组织名称 - 单击 添加属性。
- 单击 高级表达式。
- 在 “表 达式 ” 字段中,用引号键入 Genesys Cloud 组织的简称。 示例 “我的组织名字"。
- 单击 “ 保存”。
服务名称 成功验证后要重定向到的浏览器的有效 URL,或以下关键字之一:
- 目录(重定向到 Genesys 云协作客户端)
- 目录管理员(重定向到 Genesys Cloud 管理员 UI)
- 单击 添加属性。
- 单击 高级表达式。
- 在 “表 达式 ” 字段中,用引号键入 Genesys Cloud 组织的简称。 示例 “目录"。
- 单击 “ 保存”。
- 单击 “ 保存并发布”。
获取 Genesys Cloud 配置的元数据
- 在 PingIdentity 中,单击 连接 > 应用程序。
- 展开为 Genesys 云创建的应用程序,单击 配置 选项卡。 请注意 Genesys Cloud 配置所需的以下身份提供商元数据。
元数据 描述 发行人编号 用于 Genesys Cloud 中的 Okta 发行者 URI 设置。 单点注销服务 用于 Genesys Cloud 中的 目标 URI 设置。 单点登录服务 用于 Genesys Cloud 中的 目标 URI 设置。
配置 Genesys 云
- 在 Genesys Cloud 中,单击 管理员。
- 在 “集成” 下, 单击 “单点登录”。
- 单击 P ing 身份 选项卡。
- 输入从 PingOne 收集的身份提供商元数据。
字段 描述 证书 要上传用于 SAML 签名验证的 X.509 证书,请执行以下操作之一。
- 要上传证书,请单击 “选择要上传的证书”。
- 选择 X.509 证书。
- 单击 “ 打开”。
- 或者,要加载备份证书,请重复步骤 1-3。
或者你可以:
- 拖放您的证书文件。
- 或者,要加载备份证书,请重复第一步。
上传的证书会显示其到期日期。 要删除证书,请单击 X。
注意: 要续订或更新即将到期的证书,请按照以下说明上传 X.509 证书,重复步骤 1--3。 每个 SSO 配置最多可以将五个证书上传到 Genesys Cloud,Genesys Cloud 会在单点登录和注销期间选择正确的证书。发行人 URI 键入发 行者 ID。
目标 URL 键入 单点登录服务。
单点注销 URI 键入 单一注销服务。
单点注销绑定 选择 HTTP 重定向。
正在中继用户识别符 键入您 在 PingIdentity 中指定为实 体 ID 的唯一字符串。
- 单击 “ 保存”。
