将 Salesforce 添加为单点登录提供商

先决条件:
  • 单点登录 > 提供程序 > 添加、删除、编辑、查看 权限
  • 组织 Salesforce 帐户中的管理员角色
  • 作为身份提供商启用 Salesforce
  • Salesforce 域已部署到所有用户
  • Salesforce 和 Genesys 云中的用户电子邮件地址相同

将 Genesys Cloud 添加为组织成员可以使用 Salesforce 帐户凭据访问的应用程序。

注释:
  • Genesys Cloud 不支持单点登录第三方身份提供商的断言加密。 Genesys Cloud 登录服务需要传输层安全性(TLS)。 由于频道是加密的,因此无需对消息的某些部分进行加密。
  • 管理员可以选择禁用默认的 Genesys Cloud 登录名,并仅使用 SSO 提供商强制执行身份验证。 有关更多信息,请参阅将 Genesys Cloud 配置为仅通过 SSO 进行身份验证
  • 管理员可以选择存储四个额外的证书以确保业务连续性。 如果一份证书失效或过期,并且其他证书之一有效,则集成将被保留。 

  • 当服务提供商 (SP) 收到来自身份提供商 (IdP) 的 SAML 响应且其系统时钟不同步时,会出现一般问题。 此问题可能导致用户在登录时被锁定在单点登录之外。 此问题可能是由 SP 和 IdP 之间的时钟偏差长度引起的。 Genesys Cloud 与您的身份提供商之间的时钟偏差不得超过 10 秒。

  • Genesys Cloud 桌面应用程序不支持安装浏览器扩展。如果您配置了需要浏览器扩展的 Azure 条件访问策略,则需要使用安装了 Microsoft Entra ID 扩展的 Genesys Cloud 支持的浏览器。在此配置中,使用桌面应用程序无法进行单点登录。

配置 Salesforce

使用身份提供程序事件日志排查错误。

  1. 要为 Genesys Cloud 创建连接的应用程序,请在应用管理器选择新的连接应用程序

  2. 新的连接应用程序页面上,在连接的 Genesys Cloud 应用程序中输入以下设置。

    注意: 在下面网络应用程序设置,请确保选择启用 SAML


    字段 描述
    实体 ID

    该值可以是要用来标识信赖方信任的任何唯一字符串。
    ACS 网址 更改 Genesys Cloud 组织的区域。
    美国东部 (N. 弗吉尼亚州): https://login.mypurecloud.com/saml
    美国东部 2(俄亥俄州): https://login.use2.us-gov-pure.cloud/saml
    美国西部(俄勒冈州):     https://login.usw2.pure.cloud/saml
    加拿大(加拿大中部): https://login.cac1.pure.cloud/saml
    南美洲(圣保罗): https://login.sae1.pure.cloud/saml
    欧洲、中东和非洲(法兰克福) https://login.mypurecloud.de/saml
    欧盟(爱尔兰) https://login.mypurecloud.ie/saml
    欧盟(伦敦): https://login.euw2.pure.cloud/saml
    亚太地区(孟买): https://login.aps1.pure.cloud/saml
    亚太地区(首尔) https://login.apne2.pure.cloud/saml
    亚太地区(悉尼):     https://login.mypurecloud.com.au/saml
    亚太地区(东京) https://login.mypurecloud.jp/saml
    启用单次注销 选中此框。
    单点注销 URI 更改 Genesys Cloud 组织的区域。
    美国东部 (N. 弗吉尼亚州): https://login.mypurecloud.com/saml
    美国东部 2(俄亥俄州): https://login.use2.us-gov-pure.cloud/saml/logout
    美国西部(俄勒冈州):     https://login.usw2.pure.cloud/saml
    加拿大(加拿大中部): https://login.cac1.pure.cloud/saml
    南美洲(圣保罗): https://login.sae1.pure.cloud/saml/logout
    欧洲、中东和非洲(法兰克福) https://login.mypurecloud.de/saml
    欧盟(爱尔兰) https://login.mypurecloud.ie/saml 欧盟(伦敦):
    https://login.euw2.pure.cloud/saml 亚太地区(孟买):
    https://login.aps1.pure.cloud/saml
    亚太地区(首尔) https://login.apne2.pure.cloud/saml 亚太地区(悉尼):
         https://login.mypurecloud.com.au/saml
    亚太地区(东京) https://login.mypurecloud.jp/saml
    单点注销绑定 选择 HTTP 重定向
    选择类型 用户名
    发行人 您的 Salesforce 域名(https://youId.my.salesforce.com)
    姓名 ID 格式 URN: OASIS: 名称:TC: SAML: 1.1: 名称 ID 格式:瞬态

  3. 从应用程序页面收集以下数据:

    字段 描述
    证书
    1. 单击 I dP 证书旁边的证书名称
    2. 证书和密钥详细信息 页面上,单击 下载证书
    3. 将证书保存到文本文件中。
    发行人 URI 复制发 行者 值。
    目标 URI 复制标记为 SP 启动的重定向端点的值
    单点注销 URI 复制标记为 “ 单一注销终端节点” 的值
  4. 为 Salesforce 用户提供访问适用于 Genesys Cloud 的互联应用程序的权限。 
    1. 在管理用户 > 用户中,单击用户 上的 编辑。
    2. 单击用户的个人资料类型,例如 “销售人员”、“服务” 或 “管理员” 以打开个人资料页面。
    3. 在互联应用程序访问下,单击 Genesys Cloud 的互联应用程序。 

SAML 属性

如果断言中存在以下 SAML 属性,Genesys Cloud 将对这些属性执行操作。 这些属性区分大小写。 

属性名称 属性名称
组织名称 
  • 对于身份提供商发起的单点登录: 使用组织的简称。
  • 对于服务提供商发起的单点登录: 确保组织名称与您选择的组织名称匹配。 适用于一个组织使用单个身份提供商维护多个 Genesys Cloud 组织的情况。 
email  要进行身份验证的 Genesys Cloud 用户的电子邮件地址。
  • 必须是 Genesys Cloud 的现有用户。
  • 如果身份提供商未使用电子邮件地址作为主题 NameID,则您需要一个有效的电子邮件地址。
服务名称 

成功验证后要重定向到的浏览器的有效 URL,或以下关键字之一:

  • 目录(重定向到 Genesys 云协作客户端)
  • 目录管理员(重定向到 Genesys Cloud 管理员 UI)

配置 Genesys 云

  1. 在 Genesys Cloud 中,单击 管理员
  2. 在 “集成” 下, 单击 “单点登录”。
  3. 单击 Salesforce 选项卡。

  4. 输入从 Salesforce 收集的信息。

    字段 描述
    证书

    要上传用于 SAML 签名验证的 X.509 证书,请执行以下操作之一。

    1. 要上传证书,请单击 “选择要上传的证书”
    2. 选择 X.509 证书。
    3. 单击 “ 打开”
    4. 或者,要加载备份证书,请重复步骤 1-3。

    或者你可以:

    1. 拖放您的证书文件。
    2. 或者,要加载备份证书,请重复第一步。

    上传的证书会显示其到期日期。 要删除证书,请单击 X

    注意: 要续订或更新即将到期的证书,请按照以下说明上传 X.509 证书,重复步骤 1--3。 每个 SSO 配置最多可以将五个证书上传到 Genesys Cloud,Genesys Cloud 会在单点登录和注销期间选择正确的证书。

    发行人 URI 输入你的 Salesforce 域名(https://你的 ID.my.salesforce.com)
    目标 URI 在 Salesforce 应用程序页面 中输入标记为 SP 启动的重定向端点的 URL。
    单点注销 URI 在 Salesforce 应用程序页面 中输入标记为 SP 启动的重定向端点的 URL。
    单点注销绑定 选择 HTTP 重定向
    正在中继用户识别符 添加您提供的唯一标识符实体ID在 Salesforce 应用程序页面中。 
  5. 单击 “ 保存”