Microsoft Entra ID als Single Sign-On-Anbieter hinzufügen

Voraussetzungen:
  • Einmalige Anmeldung > Anbieter > Berechtigungen hinzufügen, löschen, bearbeiten, anzeigen
  • Administratorrolle im Microsoft Entra ID Premium- oder Free-Konto Ihrer Organisation
  • Die E-Mail-Adressen der Benutzer sind in beiden Eintrags-ID und Genesys Cloud
  • Jede Microsoft Entra ID Premium-Version, die SAML 2.0 unterstützt (Unterschiede in der Konfiguration, je nach Version).
  • Oder ein kostenloses Microsoft Entra ID-Abonnement, das SSO unterstützt

Fügen Sie Genesys Cloud als Anwendung hinzu, auf die Organisationsmitglieder mit den Anmeldeinformationen ihres Microsoft Entra ID Premium- oder kostenlosen Microsoft Entra ID-Kontos zugreifen können.

Notizen:
  • Genesys Cloud unterstützt keine Assertion-Verschlüsselung für Single Sign-On Identitätsanbieter von Drittanbietern. Der Genesys Cloud Log-in Service erfordert Transport Layer Security (TLS). Da der Kanal verschlüsselt ist, besteht keine Notwendigkeit, Teile der Nachricht zu verschlüsseln.
  • Administratoren können optional die Standardanmeldung bei Genesys Cloud deaktivieren und die Authentifizierung ausschließlich über einen SSO-Anbieter erzwingen. Weitere Informationen finden Sie unter Konfigurieren Sie Genesys Cloud so, dass es sich nur mit SSO authentifiziert.
  • Administratoren können vier zusätzliche Zertifikate speichern, um die Geschäftskontinuität sicherzustellen. Wenn ein Zertifikat ungültig wird oder abläuft, bleibt die Integration erhalten, sofern eines der zusätzlichen Zertifikate gültig ist. 

  • Es gibt ein allgemeines Problem, wenn ein Dienstanbieter (SP) eine SAML-Antwort von einem Identitätsanbieter (IdP) erhält und ihre Systemuhren nicht synchronisiert sind. Dieses Problem kann dazu führen, dass Benutzer bei der Anmeldung aus ihrem Single Sign-On ausgesperrt werden. Das Problem könnte durch die Länge des Taktversatzes zwischen dem SP und dem IdP verursacht werden. Die Zeitverschiebung zwischen Genesys Cloud und Ihrem Identitätsanbieter darf nicht größer als 10 Sekunden sein.

  • Die Genesys Cloud-Desktop-App unterstützt nicht die Installation von Browsererweiterungen. Wenn Sie eine Azure Conditional Access-Richtlinie konfiguriert haben, die eine Browsererweiterung erfordert, müssen Sie einen von Genesys Cloud unterstützten Browser verwenden, auf dem die Microsoft Entra ID-Erweiterung installiert ist. In dieser Konfiguration funktioniert die einmalige Anmeldung mit der Desktop-App nicht.

Microsoft Entra-ID konfigurieren

Sie können entweder die Genesys Cloud Galerie-Anwendung konfigurieren (bevorzugte Methode) oder eine eigene Genesys Cloud-Anwendung erstellen.

  1. Klicken Microsoft Entra ID > Unternehmen Anwendungen .
  2. Klicken Sie auf Neue Anwendung.
  3. Geben Sie im Suchfeld „Genesys Cloud for Azure“ ein.
  4. Klicken Sie auf die Anwendung, fügen Sie ihr einen Namen hinzu und klicken Sie dann auf Erstellen.

    Hinweis: Wählen Sie die von Genesys Labs Inc. veröffentlichte Version.

  5. Klicken Sie auf Single Sign-On
  6. Klicken Sie auf SAML.
  7. Klicken Sie in der SAML-Basiskonfiguration auf Bearbeiten und geben Sie die entsprechende Genesys Cloud SAML-Anmelde-URL in das Feld Antwort-URL und die Abmelde-URL in das Feld Abmelde-URL ein.
    Der Identifier (EntityID) kann ein beliebiger, für die Azure-Instanz eindeutiger Wert sein Die Tabelle zeigt die Antwort-URL und Abmelde-URL von Ihrer Genesys Cloud Organisation, basierend auf der AWS Region:
    AWS-Region

    Antwort-URL

    Abmelde-URL
    US-Ost (N. Virginia

    https://login.mypurecloud.com/saml

    https://login.mypurecloud.com/saml
    US East 2 (Ohio)

    https://login.use2.us-gov-pure.cloud/saml

    https://login.use2.us-gov-pure.cloud/saml/logout
    US West (Oregon)

    https://login.usw2.pure.cloud/saml 

    https://login.usw2.pure.cloud/saml
    Kanada (Kanada Zentral)

    https://login.cac1.pure.cloud/saml 

    https://login.cac1.pure.cloud/saml
    Südamerika (São Paulo)

    https://login.sae1.pure.cloud/saml 

    https://login.sae1.pure.cloud/saml/logout
    EMEA (Frankfurt)

    https://login.mypurecloud.de/saml

    https://login.mypurecloud.de/saml
    EU (Irland)

    https://login.mypurecloud.ie/saml 

    https://login.mypurecloud.ie/saml
    EU (London)

    https://login.euw2.pure.cloud/saml

    https://login.euw2.pure.cloud/saml
    Naher Osten (UAE)

    https://login.mec1.pure.cloud/saml

    https://login.mec1.pure.cloud/logout
    Asien-Pazifik (Mumbai)

    https://login.aps1.pure.cloud/saml

    https://login.aps1.pure.cloud/saml
    Asien-Pazifik (Seoul)

    https://login.apne2.pure.cloud/saml

    https://login.apne2.pure.cloud/saml
    Asien-Pazifik (Sydney)

    https://login.mypurecloud.com.au/saml

    https://login.mypurecloud.com.au/saml
    Asien-Pazifik (Tokio) https://login.mypurecloud.jp/saml https://login.mypurecloud.jp/saml
  8. Klicken Sie unter Benutzerattribute & Ansprüche auf Bearbeiten und geben Sie diese Attributnamen ein Um einen benutzerdefinierten Anspruch hinzuzufügen, geben Sie den Namen des benutzerdefinierten Attributs in das Feld Quellattribut oberhalb der Dropdown-Liste ein.
    Hinweis: Bei den Attributnamen wird zwischen Groß- und Kleinschreibung unterschieden. Geben Sie sie so ein, wie sie in der Tabelle erscheinen. Verwenden Sie keinen Namespace in Ansprüchen.

    Attributname Attributname
    email 

    user.userprincipalname

    Notizen:

    • Legen Sie für den E-Mail-Antrag einen neuen Antrag mit dem Namen E-Mail an.

    • Bezieht sich auf die E-Mail-Adresse des Benutzers in Genesys Cloud. Normalerweise lautet die E-Mail-Adresse user.userprincipalname, aber wenn der Azure-Administrator einen anderen Benutzerprinzipalnamen hat (UPN) und E-Mail verwenden Sie user.email (oder als user.mail).

    • Die Groß- und Kleinschreibung von muss mit der Groß- und Kleinschreibung der E-Mail-Adresse übereinstimmen, die für diesen Benutzer in Genesys Cloud eingerichtet wurde.

      Genesys Cloud ändert E-Mail-Adressen in Kleinbuchstaben. Wenn AD die E-Mail mit Großbuchstaben sendet, z. B. John.Smith@company.com, müssen Sie dem E-Mail-Antrag eine Umwandlung in Kleinbuchstaben hinzufügen. 

      1. Wählen Sie in Anspruch verwalten Transformation.
      2. Setzen Sie in Transformation verwalten die Transformation auf ToLOWERCASE().
      3. Parameter auf user.mail setzen.

    • Der Name-Claim muss auch mit dem E-Mail-Claim übereinstimmen.

      Wenn Sie sich beispielsweise als jsmith@company.com (user.userprinicpalname) bei AD anmelden, Ihre tatsächliche E-Mail-Adresse in Genesys Cloud jedoch john.smith@company.com lautet, können Sie user.userprincipalname nicht verwenden. Verwenden Sie user.mail oder user.email, je nachdem, was Sie in Ihrem Azure-System haben. Geben Sie keine Namespace-Informationen ein.
      Organisationsname  Der Kurzname Ihrer Genesys Cloud Organisation
      Dienstname

      Eine gültige URL, an die der Browser nach erfolgreicher Authentifizierung weitergeleitet werden soll, oder eines der folgenden Schlüsselwörter:

      • verzeichnis (leitet zum Genesys Cloud Collaborate-Client weiter)
      • directory-admin (leitet auf die Genesys Cloud Admin UI um)
    • Klicken Sie im SAML-Signaturzertifikat auf Zertifikat (Basis 64) um es herunterzuladen.
    • Unter Richten Sie Genesys Cloud für Azure ein, beachten Sie das Anmelde-URL, Azure AD-Bezeichner, und Abmelde-URL. Verwenden Sie sie, um den Ziel-URI und den Aussteller-URI in Genesys Cloud zu konfigurieren.

    1. Klicken Microsoft Entra ID > Unternehmen Anwendungen .
    2. Klicken Sie auf Neue Anwendung.
    3. Klicken Sie unter Anwendung hinzufügen auf Nicht-Galerie-Anwendung.
    4. Geben Sie im Feld „Name“ „Genesys Cloud“ ein.
    5. Klicken Sie auf Single Sign-On
    6. Klicken Sie auf SAML.
    7. Klicken Sie in der SAML-Basiskonfiguration auf Bearbeiten und geben Sie die entsprechende Genesys Cloud SAML-Anmelde-URL in das Feld Antwort-URL und die Abmelde-URL in das Feld Abmelde-URL ein.
      Der Identifier (EntityID) kann ein beliebiger, für die Azure-Instanz eindeutiger Wert sein Die Tabelle zeigt die Antwort-URL und Abmelde-URL von Ihrer Genesys Cloud Organisation, basierend auf der AWS Region:
      AWS-Region

      Antwort-URL

      Abmelde-URL
      US-Ost (N. Virginia

      https://login.mypurecloud.com/saml

      https://login.mypurecloud.com/saml
      US East 2 (Ohio)

      https://login.use2.us-gov-pure.cloud/saml

      https://login.use2.us-gov-pure.cloud/saml/logout
      US West (Oregon)

      https://login.usw2.pure.cloud/saml 

      https://login.usw2.pure.cloud/saml
      Kanada (Kanada Zentral)

      https://login.cac1.pure.cloud/saml 

      https://login.cac1.pure.cloud/saml
      Südamerika (São Paulo)

      https://login.sae1.pure.cloud/saml 

      https://login.sae1.pure.cloud/saml/logout
      EMEA (Frankfurt)

      https://login.mypurecloud.de/saml

      https://login.mypurecloud.de/saml
      EU (Irland)

      https://login.mypurecloud.ie/saml 

      https://login.mypurecloud.ie/saml
      EU (London)

      https://login.euw2.pure.cloud/saml

      https://login.euw2.pure.cloud/saml
      Asien-Pazifik (Mumbai)

      https://login.aps1.pure.cloud/saml

      https://login.aps1.pure.cloud/saml
      Asien-Pazifik (Seoul)

      https://login.apne2.pure.cloud/saml

      https://login.apne2.pure.cloud/saml
      Asien-Pazifik (Sydney)

      https://login.mypurecloud.com.au/saml

      https://login.mypurecloud.com.au/saml
      Asien-Pazifik (Tokio) https://login.mypurecloud.jp/saml https://login.mypurecloud.jp/saml
    8. Klicken Sie unter Benutzerattribute & Ansprüche auf Bearbeiten und geben Sie diese Attributnamen ein Um einen benutzerdefinierten Anspruch hinzuzufügen, geben Sie den Namen des benutzerdefinierten Attributs in das Feld Quellattribut oberhalb der Dropdown-Liste ein.
      Hinweis: Bei den Attributnamen wird zwischen Groß- und Kleinschreibung unterschieden. Geben Sie sie so ein, wie sie in der Tabelle erscheinen. Verwenden Sie keinen Namespace in Ansprüchen.

      Attributname Attributname
      email 

      user.userprincipalname

      Notizen:

      • Bezieht sich auf die E-Mail-Adresse des Benutzers in Genesys Cloud. Normalerweise lautet die E-Mail-Adresse user.userprincipalname, aber wenn der Azure-Administrator einen anderen Benutzerprinzipalnamen hat (UPN) und E-Mail verwenden Sie user.email.

        Wenn Sie sich beispielsweise als jsmith@company.com (user.userprinicpalname) bei AD anmelden, Ihre tatsächliche E-Mail-Adresse jedoch john.smith@company.com lautet, verwenden Sie user.mail oder user.email, je nachdem, was Sie in Ihrem haben Azure-System. Geben Sie keine Namespace-Informationen ein.

      • Die Groß-/Kleinschreibung muss mit der Groß-/Kleinschreibung der E-Mail-Adresse übereinstimmen, die für diesen Benutzer in Genesys Cloud eingerichtet wurde. Genesys Cloud setzt E-Mails standardmäßig auf Kleinbuchstaben.

        Wenn AD die E-Mail mit Großbuchstaben sendet, z. B. John.Smith@company.com, müssen Sie dem E-Mail-Antrag eine Umwandlung in Kleinbuchstaben hinzufügen. 
      Organisationsname  Der Kurzname Ihrer Genesys Cloud Organisation
      Dienstname

      (Optional) Eine gültige URL für den Browser, zu der nach erfolgreicher Authentifizierung umgeleitet werden soll, oder eines der folgenden Schlüsselwörter:

      • verzeichnis (leitet zum Genesys Cloud Collaborate-Client weiter)
      • directory-admin (leitet auf die Genesys Cloud Admin UI um)
    9. Klicken Sie im SAML-Signaturzertifikat auf Zertifikat (Basis 64) um es herunterzuladen.
    10. Unter Richten Sie Genesys Cloud für Azure ein, beachten Sie das Anmelde-URL, Azure AD-Bezeichner, und Abmelde-URL. Verwenden Sie sie, um den Ziel-URI und den Aussteller-URI in Genesys Cloud zu konfigurieren.

    Zuweisung von Benutzern und Gruppen zur Genesys Cloud-Anwendung

    Nachdem Sie entweder die Genesys Cloud-Galerie oder eine benutzerdefinierte Genesys Cloud-Anwendung konfiguriert haben, weisen Sie den Benutzern und Gruppen die Anmeldung bei Genesys Cloud mit Microsoft Entra ID als Identitätsanbieter zu.

    1. Klicken Sie in der benutzerdefinierten Genesys Cloud-Anwendung auf Benutzer und Gruppen.
    2. Klicken Sie auf Benutzer hinzufügen.
    3. Klicken Sie auf die entsprechenden Benutzer und Gruppen.
    4. Klicken Sie auf Zuweisen.

    Genesys Cloud konfigurieren

    Die Genesys Cloud-Konfiguration gilt sowohl für die Genesys Cloud-Galerieanwendung als auch für eine benutzerdefinierte Genesys Cloud-Anwendung.

    1. Klicken Sie in Genesys Cloud auf Admin.
    2. Klicken Sie unter Integrationen auf Single Sign-on
    3. Drücke den ADFS/Microsoft Entra ID (Premium) Tab.

    4. Geben Sie die von der Microsoft Entra ID erfassten Metadaten des Identitätsanbieters ein.

      Feld Beschreibung
      Zertifikat

      Um X.509-Zertifikate für die SAML-Signaturvalidierung hochzuladen, führen Sie einen der folgenden Schritte aus.

      1. Um ein Zertifikat hochzuladen, klicken Sie auf Select Certificates to upload.
      2. Wählen Sie das X.509-Zertifikat aus.
      3. Klicken Sie auf . Öffnen Sie.
      4. Um ein Backup-Zertifikat zu laden, können Sie die Schritte 1-3 wiederholen.

      Oder Sie können:

      1. Ziehen Sie Ihre Zertifikatsdatei und legen Sie sie ab.
      2. Um ein Backup-Zertifikat zu laden, können Sie den ersten Schritt wiederholen.

      Hochgeladene Zertifikate werden mit ihrem Ablaufdatum angezeigt. Um ein Zertifikat zu entfernen, klicken Sie auf X.

      Hinweis: Um ein ablaufendes Zertifikat zu erneuern oder zu aktualisieren, befolgen Sie diese Anweisungen zum Hochladen von X.509-Zertifikaten und wiederholen Sie die Schritte 1–3. Sie können pro SSO-Konfiguration bis zu fünf Zertifikate in Genesys Cloud hochladen, und Genesys Cloud wählt beim einmaligen Anmelden und Abmelden das richtige Zertifikat aus.

      Emittenten-URI

      Schreib die Azure AD-Bezeichner aus der benutzerdefinierten Microsoft Entra ID Genesys Cloud-Anwendung.

      Hinweis: Die URI des Ausstellers ist eine URL, nicht nur die ID. Die URL sollte das Format "https://sts.windows.net/1234abcd5678efgh" haben, wobei die GUID die Entitäts-ID von Azure ist.
      Ziel-URI Schreib die Anmelde-URL aus die Microsoft Entra ID Benutzerdefinierte Genesys Cloud-Anwendung
      Single-Logout-URI Schreib die Abmelde-URL aus der benutzerdefinierten Microsoft Entra ID Genesys Cloud-Anwendung.
      Single-Logout-Bindung Wählen Sie HTTP Redirect.
      Vertrauenswürdige Teilnehmer-ID

      Schreib die Kennung (Entitäts-ID) von der Microsoft Entra ID Benutzerdefinierte Genesys Cloud-Anwendung .


      Hinweis: Die SAML-Ressource ist die Standardressource für die App innerhalb von Microsoft Entra ID. Wir empfehlen, die SAML-Ressource als Entitäts-ID zu verwenden, da sie eindeutig und leicht verfügbar ist. Wenn Sie mehrere Instanzen der SSO-Integration auf Ihrer Microsoft Entra ID-Instanz ausführen, können Sie eine eindeutige Kennung verwenden, solange die IDP-Konfiguration in Genesys Cloud dieselbe Kennung in der Relying Party Identifier Feld. Genesys Cloud verwendet diesen Wert, um sich gegenüber dem IDP zu identifizieren.
    5. Klicken Sie auf Speichern.

    Testen Sie die Microsoft Entra ID Genesys Cloud-Anwendung

    Der Test der Microsoft Entra ID Genesys-Cloud-Anwendung gilt sowohl für die Genesys Cloud-Galerieanwendung als auch für die benutzerdefinierte Genesys Cloud-Anwendung.

    • Klicken Sie in der Detailansicht der einmaligen Anmeldung in Microsoft Entra ID auf Testen Sie diese Anwendung .