Ping Identity als Single Sign-On-Anbieter hinzufügen

Voraussetzungen:
  • Einmalige Anmeldung > Anbieter > Berechtigungen hinzufügen, löschen, bearbeiten, anzeigen
  • Admin-Rolle im Ping-Identity-Konto Ihrer Organisation
  • Die E-Mail-Adressen der Benutzer sind in Ping Identity und Genesys Cloud identisch

Fügen Sie Genesys Cloud als eine Anwendung hinzu, auf die Mitglieder der Organisation mit den Anmeldeinformationen ihres Ping Identity-Kontos zugreifen können.

Notizen:
  • Genesys Cloud unterstützt keine Assertion-Verschlüsselung für Single Sign-On Identitätsanbieter von Drittanbietern. Der Genesys Cloud Log-in Service erfordert Transport Layer Security (TLS). Da der Kanal verschlüsselt ist, besteht keine Notwendigkeit, Teile der Nachricht zu verschlüsseln.
  • Administratoren können optional die Standardanmeldung bei Genesys Cloud deaktivieren und die Authentifizierung ausschließlich über einen SSO-Anbieter erzwingen. Weitere Informationen finden Sie unter Konfigurieren Sie Genesys Cloud so, dass es sich nur mit SSO authentifiziert.
  • Administratoren können vier zusätzliche Zertifikate speichern, um die Geschäftskontinuität sicherzustellen. Wenn ein Zertifikat ungültig wird oder abläuft, bleibt die Integration erhalten, sofern eines der zusätzlichen Zertifikate gültig ist. 

  • Es gibt ein allgemeines Problem, wenn ein Dienstanbieter (SP) eine SAML-Antwort von einem Identitätsanbieter (IdP) erhält und ihre Systemuhren nicht synchronisiert sind. Dieses Problem kann dazu führen, dass Benutzer bei der Anmeldung aus ihrem Single Sign-On ausgesperrt werden. Das Problem könnte durch die Länge des Taktversatzes zwischen dem SP und dem IdP verursacht werden. Die Zeitverschiebung zwischen Genesys Cloud und Ihrem Identitätsanbieter darf nicht größer als 10 Sekunden sein.

  • Die Genesys Cloud-Desktop-App unterstützt nicht die Installation von Browsererweiterungen. Wenn Sie eine Azure Conditional Access-Richtlinie konfiguriert haben, die eine Browsererweiterung erfordert, müssen Sie einen von Genesys Cloud unterstützten Browser verwenden, auf dem die Microsoft Entra ID-Erweiterung installiert ist. In dieser Konfiguration funktioniert die einmalige Anmeldung mit der Desktop-App nicht.

Ping-Identität konfigurieren

Erstellen Sie eine benutzerdefinierte Genesys Cloud-Anwendung

  1. Klicken Sie in PingIdentity auf Verbindungen > Anwendungen
  2. Klicken Sie auf das Pluszeichen neben Anwendungen
  3. Klicken Sie auf Web App und auf Configure für die Option SAML.
  4. Füllen Sie auf der Seite App-Profil erstellen die folgenden Felder aus und lassen Sie die übrigen Felder leer oder mit den Standardeinstellungen.
    Feld Beschreibung
    Anwendungs-Tag Geben Sie den Namen Ihrer Genesys Cloud-Anwendung ein.
    Beschreibung der Anwendung Geben Sie eine kurze Beschreibung der Anwendung ein.
  5. Füllen Sie auf der Seite Configure SAML Connection die folgenden Felder aus und lassen Sie die restlichen Felder leer oder mit den Standardeinstellungen
    Feld Beschreibung
    ACS-URL Geben Sie die URL Ihrer Genesys Cloud Organisation für die AWS Region ein:
    US-Ost (N. Virginia): https://login.mypurecloud.com/saml
    US-Ost 2: (Ohio): https://login.use2.us-gov-pure.cloud/saml
    US West (Oregon):     https://login.usw2.pure.cloud/saml
    Kanada (Canada Central): https://login.cac1.pure.cloud/saml
    Südamerika (São Paulo): https://login.sae1.pure.cloud/saml
    EMEA (Frankfurt) https://login.mypurecloud.de/saml
    EU (Irland) https://login.mypurecloud.ie/saml
    EU (London) https://login.euw2.pure.cloud/saml
    Asien-Pazifik (Mumbai) https://login.aps1.pure.cloud/saml
    Asien-Pazifik (Seoul) https://login.apne2.pure.cloud/saml
    Asien-Pazifik (Sydney)     https://login.mypurecloud.com.au/saml
    Asien-Pazifik (Tokio) https://login.mypurecloud.jp/saml
    Signierschlüssel
    1. Klicken Sie auf Signierzertifikat herunterladen.
    2. Wählen Sie X509 PEM (.crt).
    3. Flow speichern
    Signieralgorithmus Wählen Sie RSA_SHA256.
    Entitäts-ID Geben Sie eine eindeutige Zeichenfolge ein, mit der Sie z.B. Ihre Genesys Cloud Organisation identifizieren möchten: genesys.cloud.my-org.
    SLO Endpunkt Geben Sie die URL Ihrer Genesys Cloud Organisation für die AWS Region ein:
    US-Ost (N. Virginia): https://login.mypurecloud.com/saml
    US East 2 (Ohio): https://login.use2.us-gov-pure.cloud/saml/logout
    US West (Oregon):     https://login.usw2.pure.cloud/saml
    Kanada (Canada Central): https://login.cac1.pure.cloud/saml
    Südamerika (São Paulo): https://login.sae1.pure.cloud/saml/logout
    EMEA (Frankfurt) https://login.mypurecloud.de/saml
    EU (Irland) https://login.mypurecloud.ie/saml EU (London)
    https://login.euw2.pure.cloud/saml Asien-Pazifik (Mumbai)
    https://login.aps1.pure.cloud/saml
    Asien-Pazifik (Seoul) https://login.apne2.pure.cloud/saml Asien-Pazifik (Sydney)
         https://login.mypurecloud.com.au/saml
    Asien-Pazifik (Tokio) https://login.mypurecloud.jp/saml
    SLO Bindung Wählen Sie HTTP Redirect.
    Betreff NameID Format Wählen Sie "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
    Gültigkeitsdauer der Behauptung (in Sekunden) Geben Sie einen Wert ein, der bestimmt, wie lange die Assertions in der SAML-Authentifizierungsantwort gültig sind. 60 Sekunden sind ausreichend.
  6. Fügen Sie auf dem Bildschirm SSO-Attribut-Zuordnung diese Attribute hinzu.

    Attribut Beschreibung
    E-Mail

    Wählen Sie E-Mail Adresse.
    Organisationsname
    1. Klicken Sie auf Attribut hinzufügen.
    2. Klicken Sie auf Advanced Expression.
    3. Geben Sie in das Feld Expression den Kurznamen Ihrer Genesys Cloud Organisation in Anführungszeichen ein Beispiel  "mein-Org-Name".
    4. Klicken Sie auf Speichern.
    Dienstname

    Eine gültige URL, an die der Browser nach erfolgreicher Authentifizierung weitergeleitet werden soll, oder eines der folgenden Schlüsselwörter:

    • verzeichnis (leitet zum Genesys Cloud Collaborate-Client weiter)
    • directory-admin (leitet auf die Genesys Cloud Admin UI um)

    1. Klicken Sie auf Attribut hinzufügen.
    2. Klicken Sie auf Advanced Expression.
    3. Geben Sie in das Feld Expression den Kurznamen Ihrer Genesys Cloud Organisation in Anführungszeichen ein Beispiel  "Verzeichnis".
    4. Klicken Sie auf Speichern.
  7. Klicken Sie auf Speichern und veröffentlichen

    Abrufen der Metadaten für die Genesys Cloud-Konfiguration

    1. Klicken Sie in PingIdentity auf Verbindungen > Anwendungen
    2. Erweitern Sie die für Genesys Cloud erstellte Anwendung und klicken Sie auf die Registerkarte Konfiguration Beachten Sie die folgenden Identity Provider-Metadaten, die Sie für die Genesys Cloud-Konfiguration benötigen.
      Metadaten Beschreibung
      Emittenten-ID Verwendung für die Einstellung Okta Issuer URI in Genesys Cloud
      Einmaliger Abmeldedienst Verwendung für die Einstellung Target URI in Genesys Cloud
      Einzelanmeldungsdienst Verwendung für die Einstellung Target URI in Genesys Cloud

    Genesys Cloud konfigurieren

    1. Klicken Sie in Genesys Cloud auf Admin.
    2. Klicken Sie unter Integrationen auf Single Sign-on.
    3. Klicken Sie auf die Registerkarte Ping Identity .
    4. Geben Sie die von PingOne gesammelten Metadaten des Identity Providers ein.
      Feld Beschreibung
      Zertifikat

      Um X.509-Zertifikate für die SAML-Signaturvalidierung hochzuladen, führen Sie einen der folgenden Schritte aus.

      1. Um ein Zertifikat hochzuladen, klicken Sie auf Select Certificates to upload.
      2. Wählen Sie das X.509-Zertifikat aus.
      3. Klicken Sie auf . Öffnen Sie.
      4. Um ein Backup-Zertifikat zu laden, können Sie die Schritte 1-3 wiederholen.

      Oder Sie können:

      1. Ziehen Sie Ihre Zertifikatsdatei und legen Sie sie ab.
      2. Um ein Backup-Zertifikat zu laden, können Sie den ersten Schritt wiederholen.

      Hochgeladene Zertifikate werden mit ihrem Ablaufdatum angezeigt. Um ein Zertifikat zu entfernen, klicken Sie auf X.

      Hinweis: Um ein ablaufendes Zertifikat zu erneuern oder zu aktualisieren, befolgen Sie diese Anweisungen zum Hochladen von X.509-Zertifikaten und wiederholen Sie die Schritte 1–3. Sie können pro SSO-Konfiguration bis zu fünf Zertifikate in Genesys Cloud hochladen, und Genesys Cloud wählt beim einmaligen Anmelden und Abmelden das richtige Zertifikat aus.

      Emittenten-URI

      Geben Sie die Issuer IDein.
      Ziel-URL

      Geben Sie den Single Signon Serviceein. 
      Single-Logout-URI

      Geben Sie den Single Logout Serviceein.
      Single-Logout-Bindung

      Wählen Sie HTTP Redirect.
      Vertrauenswürdige Teilnehmer-ID

      Geben Sie die eindeutige Zeichenfolge ein, die Sie als Entity ID in PingIdentity angegeben haben
    5. Klicken Sie auf Speichern.