创建 OAuth 客户端

电影延期上映:嵌入式客户端中的代码交换密钥证明(PKCE)授权类型已暂时推迟。请检查Genesys Cloud - 功能即将推出获取最新库存信息。

功能弃用:Genesys 将弃用 OAuth 授权的 Token Implicit Grant (Browser) 选项。 我们鼓励所有现有客户迁移到 OAuth 2 授权的密钥交换证明 (PKCE) 授权类型。有关此弃用的更多信息,请参阅弃用:OAuth 授权的令牌隐式授权(浏览器)选项

必备
  • OAuth > 客户端 > 添加 权限

OAuth 客户端允许您向平台 API 发出请求或针对 Genesys Cloud 进行身份验证,或在 Genesys Cloud 和第三方系统之间同步实体。

此过程适用于希望其应用程序接收令牌以允许其向 Genesys Cloud 发出请求的应用程序提供商平台API。该令牌代表用户允许应用程序访问 Genesys Cloud 数据的权限,并在应用程序必须授权对 API 端点的请求时使用。要查看 Genesys Cloud Platform API 列表,请参阅API 资源在 Genesys Cloud 开发者中心。 

  1. 单击 管理员
  2. 在“集成”下,点击OAuth
  3. 点击菜单> IT与集成> OAuth
  4. 在 OAuth 页面中,单击添加客户端。 出现“添加新客户端”页面。
  5. 应用程序名称字段中,输入应用程序的名称。
  6. (可选)在描述字段中,输入描述。
  7. 资助类型字段中,选择授权类型。授权类型设置应用程序获取访问令牌的方式。Genesys Cloud 支持下面列出的 OAuth 2 授权授权类型。单击授权类型的名称可显示来自 Genesys Cloud 开发人员中心的更多信息。
    • 客户凭证:仅供非用户应用程序(例如 Windows 服务或 cron 作业)使用的单步身份验证过程。客户端应用程序提供 OAuth 客户端凭据以换取访问令牌。此授权类型不属于用户上下文,因此无法访问特定于用户的 API(例如,GET /v2/users/me)。如果要为 Genesys Cloud for Salesforce 分配角色,另请参阅Salesforce Genesys Cloud 的 OAuth 客户端权限
    • 代码授权/ PKCE
    • 两步身份验证过程,用户首先通过 Genesys Cloud 进行身份验证,然后客户端应用程序将获得一个授权码。客户端应用程序提供 OAuth 客户端凭据,并使用授权码获取访问令牌。然后可以在进行身份验证的 API 调用时使用访问令牌。此选项最为安全,最适合以下类型的网站:
      • API 请求是在服务器端(例如 ASP.NET 或 PHP)发出的。
      • 某些桌面应用程序中的瘦客户端会对用户进行身份验证,并将授权码传递给后端服务器,以换取授权令牌并发出 API 请求。
    • Token 隐式授权(浏览器) :单步身份验证过程,用户使用 Genesys Cloud 进行身份验证,然后直接向客户端应用程序返回访问令牌。此选项提供的访问令牌安全性低于授权码授予,但非常适合客户端浏览器应用程序(例如 JavaScript)和大多数桌面应用程序(例如 .NET WPF/WinForms 或 Java 桌面程序)。
    • SAML2 承载者:一种身份验证过程,其中客户端应用程序可以使用安全断言标记语言 (SAML2) 断言来请求承载令牌。有关详细信息,请参阅Genesys Cloud 单点登录和身份提供商解决方案
      注意: 所有区域都可以使用单个代码授权或隐式授权类型。
  8. 单击 下一步
  9. (仅限客户端凭证授权类型)您必须选择要应用的角色。没有其他授权类型受访问控制的影响。此操作会打开一个角色列表供您选择。在“分配角色”表的“已分配”列中,启用每个角色可用的切换开关。分配一组最低限度的角色,以确定您的 OAuth 客户端集成可以执行哪些操作。
    注意: 要向 OAuth 客户端授予角色,您必须将这些角色分配给您的配置文件。
    您还必须将每个角色与一个 部门关联起来。确定要将哪些部门与客户凭证授予的角色关联起来。默认情况下,所有客户凭证授予角色的范围都限于内政部门。更新相关部门,以便使用这些拨款的应用程序和系统能够访问相应的数据。如果客户凭证授权是由第三方提供的,请与第三方核实授权用途,并相应地更新角色的部门。
  10. 单击 下一步
  11. 对于客户端凭证授权类型,请输入以下信息:
    • 令牌有效期(秒):E输入令牌所需的有效期。设置使用此客户端创建的令牌到期之前的持续时间。接受默认持续时间,或输入一个介于 300 到 172800 秒之间的值。这将代币的生命周期限制在最多两天或更短。
      注意: 为您的组织启用 HIPAA 合规性后,Genesys Cloud 会强制执行 15 分钟的空闲超时,此空闲超时也适用于 OAuth 客户端发行的令牌。 有关更多信息,请参阅 HIPAA 合规性
    • 对于其他类型的资助,请输入以下详细信息:
      • 令牌有效期(秒):E输入令牌所需的有效期。设置使用此客户端创建的令牌到期之前的持续时间。接受默认持续时间,或输入一个介于 300 到 172800 秒之间的值。这将代币的生命周期限制在最多两天或更短。
        注意: 为您的组织启用 HIPAA 合规性后,Genesys Cloud 会强制执行 15 分钟的空闲超时,此空闲超时也适用于 OAuth 客户端发行的令牌。 有关更多信息,请参阅 HIPAA 合规性
      • 授权的重定向 URI(每行一个,最多 125 个) :授权码会发布到这些 URI,并被交换为访问令牌,以便稍后用于验证后续 API 调用。
        笔记对于环回 IP 重定向 URI,添加允许的重定向 URI 时无需指定端口号(例如,http://localhost/)允许应用程序监听任何空闲端口以获取 Genesys Cloud 的响应。
      • 范围:除客户端凭证之外的所有授权类型都有范围设置。点击“范围”框,查看您的应用可用的范围列表。最佳实践是,仅选择应用程序所需的最小权限范围。有关示波器的更多信息,请参阅OAuth 范围在开发者中心。
  12. 单击 下一步
  13. 点击节省。一条消息确认客户端已创建。 
  14. 在“添加新客户端”页面中,出现“客户端密钥”部分。客户端密钥字段显示当用户请求令牌时应用程序用来证明其身份的密钥字符串。这个秘密也可以称为应用程序密码。
    笔记:您只能在设置时查看一次此机密。
    您可以在此字段中执行以下操作:
    • 要查看密码的详细信息,请单击展示
    • 要复制密码,请单击复制
    • 要生成新的密码,请单击生成新秘密。出现“生成新的客户端密钥?”对话框。
      • 单击 “ 确认”
      • 出现一条消息确认密码已更改。  
  15. 点击结束。 出现“复制并存储客户端密钥”对话框。
  16. 点击确认。您刚刚创建的应用会显示在页面底部,并包含以下部分。
    • 创建者:显示创建客户端的用户的名称。
    • 日期:显示新客户端的创建日期。
    • 修改者:显示修改客户详细信息的用户的姓名。
    • 日期:显示客户端的修改日期。

    您的 Genesys Cloud OAuth 客户端现在可以使用了。 

    必备
    • OAuth > 客户端 > 添加 权限

    如果任何一种情况适用,请为 Genesys 云嵌入式框架创建一个 OAuth 客户端:

    • 您想要实施公共部署。
    • 您想要实现一个访问获取AuthToken你的 framework.js 文件中的方法。有关详细信息,请参阅用户获取AuthToken在 Genesys Cloud 开发者中心。

    OAuth 客户端会生成一个客户端 ID,开发人员可以使用该 ID客户端 ID在 framework.js 文件中。有关详细信息,请参阅客户端 ID在 Genesys Cloud 开发者中心。

    1. 单击 管理员
    2. 在“集成”下,点击OAuth
    3. 点击菜单> IT与集成> OAuth
    4. 点击添加客户端。 出现“添加新客户端”页面。
    5. 应用程序名称字段中,输入应用程序的名称。
    6. (可选)在描述字段中,输入描述。
    7. 资助类型在此字段中,您可以选择以下选项之一:
      • 代码授权/ PKCE :两步身份验证过程,用户首先通过 Genesys Cloud 进行身份验证,然后客户端应用程序将获得一个授权码。客户端应用程序提供 OAuth 客户端凭据,并使用授权码获取访问令牌。然后可以在进行身份验证的 API 调用时使用访问令牌。此选项最为安全,最适合以下类型的网站:
        • API 请求是在服务器端(例如 ASP.NET 或 PHP)发出的。
        • 某些桌面应用程序中的瘦客户端会对用户进行身份验证,并将授权码传递给后端服务器,以换取授权令牌并发出 API 请求。
        • PKCE 授权是授权码流程的扩展,供公共客户端使用。
      • Token 隐式授权(浏览器) :单步身份验证过程,用户使用 Genesys Cloud 进行身份验证,然后直接向客户端应用程序返回访问令牌。此选项提供的访问令牌安全性低于授权码授予,但非常适合客户端浏览器应用程序(例如 JavaScript)和大多数桌面应用程序(例如 .NET WPF/WinForms 或 Java 桌面程序)。
        笔记:由于 Token Implicit Grant (Browser) 已被弃用,无法创建新的 OAuth 客户端,为了确保合规性和不间断访问,您必须迁移到已受支持的 Authorization Code with PKCE flow,该流程提供更强大的安全性,符合 OAuth 2.0 的要求。更多信息请参见如何从隐式授权迁移到 PKCE 认证?
    8. 单击 下一步
    9. 令牌持续时间(秒)字段中,输入令牌所需的持续时间。接受默认持续时间,或输入一个介于 300 到 172800 秒之间的值。此持续时间将令牌的有效期设置为最多两天或更短。
      笔记:Genesys 建议您将令牌持续时间设置为 18 小时(64,800 秒)。此持续时间通常会导致令牌在代理的正常工作日之外过期。
    10. 授权重定向 URI(每行一个)框中,添加 https://apps.mypurecloud.com/crm/index.html,根据您的 Genesys Cloud 区域进行定制。
      注释:
      • 根据您的部署情况使用 AWS 区域。
      • 如果你设置专用登录窗口在您的 framework.js 文件中将其设置为 true,同时在下方添加 https://apps.mypurecloud.com/crm/authWindow.html授权重定向 URI 。有关详细信息,请参阅专用登录窗口在下面设置在开发者中心。
      • Genesys 发布您的公共部署后,Genesys 将为您提供一个新的 URI 供您使用。
    11. 在范围字段中,选择所需的范围。您还可以添加更多范围。有关所需范围的列表,请参阅 Genesys Cloud 嵌入式客户端的 管理员要求。有关范围的更多信息,请参阅OAuth 范围在开发者中心。
    12. 点击节省。 在“添加新客户端”页面中,出现“客户端密钥”部分。客户端密钥字段显示当用户请求令牌时应用程序用来证明其身份的密钥字符串。这个秘密也可以称为应用程序密码。
      笔记:您只能在设置时查看一次此机密。
      您可以在此字段中执行以下操作:
      • 要查看密码的详细信息,请单击展示
      • 要复制密码,请单击复制
      • 要生成新的密码,请单击生成新秘密。出现“生成新的客户端密钥?”对话框
        • 出现“生成新的客户端密钥?”对话框。点击确认
        • 出现一条消息确认密码已更改。  
    13. 单击 “ 完成”
    14. 出现“复制并存储客户端密钥”对话框。要确认您已复制并存储密码,请选中该复选框。如果继续,您将无法再次查看此密码。 
    15. 点击确认。您刚刚创建的应用程序将在页面底部显示以下部分。
      • 创建者:显示创建客户端的用户的名称。
      • 日期:显示新客户端的创建日期。
      • 修改者:显示修改客户详细信息的用户的姓名。
      • 日期:显示客户端的修改日期。

    将客户端 ID 提供给开发人员,开发人员随后将客户端 ID 添加到clientIds在 framework.js 文件中。更多信息请参见客户端 ID在开发者中心。

    有关集成的更多信息,请参阅 关于 Genesys Cloud 嵌入式框架

    必备
    • OAuth > 客户端 > 添加 权限
    • 已分配给您的用户的 SCIM 集成角色
    • 如果未出现 SCIM 集成,请将默认角色恢复到您的 Genesys Cloud 组织。使用 API 资源管理器对 POST /api/v2/ 授权/角色/默认值进行 API 调用。有关详细信息,请参阅开发者工具快速入门在开发者中心。使用权API 浏览器在开发者中心。

    要使用 Genesys Cloud SCIM(身份管理),请创建 Genesys Cloud OAuth 客户端。OAuth 客户端会生成一个客户端 ID 和客户端密钥,您可以将其添加到您的身份管理系统中。 

    1. 单击 管理员
    2. 在“集成”下,点击OAuth
    3. 点击菜单> IT与集成> OAuth
    4. 点击添加客户端。 出现“添加新客户端”页面。
    5. 应用程序名称字段中,输入应用程序的名称。
    6. (可选)在描述字段中,输入描述。
    7. 资助类型字段中,选择客户端凭证。有关每项授权的更多信息,请参阅平台 API 选项卡步骤 8。
    8. 单击 下一步
    9. 在“分配角色”表中的“已分配”列中,分配 SCIM 集成角色。
      笔记:要将此角色授予 OAuth 客户端,您必须将此角色分配给您的配置文件。请勿将其他角色分配给您的 OAuth 客户端或向 SCIM 集成角色分配其他权限。如果您没有分配其他角色或权限,则您在令牌持续时间(秒)字段恢复为默认值 86,400 秒。此外,还包括您将使用 SCIM 管理的所有部门。
    10. 单击 下一步
    11. 令牌持续时间(秒)字段中,输入令牌所需的持续时间。令牌有效期是使用此客户端创建的令牌过期的时间长度。接受默认持续时间 86,400,或输入一个介于 300 到 38,880,000 秒之间的值。这会将令牌的有效期设置为最长 450 天。
      笔记:如果您使用 SCIM 集成角色或具有相同权限的自定义角色,则只能将最大值设置为 38,880,000 秒。
    12. 点击节省。一条消息确认客户端已创建。在“添加新客户端”页面中,出现“客户端密钥”部分。客户端密钥字段显示当用户请求令牌时应用程序用来证明其身份的密钥字符串。这个秘密也可以称为应用程序密码。
      笔记:您只能在设置时查看一次此机密。
      您可以在此字段中执行以下操作:
      • 要查看密码的详细信息,请单击展示
      • 要复制密码,请单击复制
      • 要生成新的密码,请单击生成新秘密。出现“生成新的客户端密钥?”对话框
        • 出现“生成新的客户端密钥?”对话框。点击确认
        • 出现一条消息确认密码已更改。  
    13. 单击 “ 完成”
    14. 出现“复制并存储客户端密钥”对话框。要确认您已复制并存储密码,请选中该复选框。如果继续,您将无法再次查看此密码。 
    15. 点击确认。您刚刚创建的应用程序将在页面底部显示以下部分。
      • 创建者:显示创建客户端的用户的名称。
      • 日期:显示新客户端的创建日期。
      • 修改者:显示修改客户详细信息的用户的姓名。
      • 日期:显示客户端的修改日期。

    您还可以在此页面执行以下操作:

    • 点击编辑客户端按钮。
    • 通过单击删除客户端按钮。

    有关 Genesys Cloud SCIM(身份管理)的信息,请参阅 关于 Genesys Cloud SCIM(身份管理)Genesys Cloud SCIM(身份管理)概述 (Genesys 云开发人员中心)。