OneLogin als Single Sign-On-Anbieter hinzufügen

Voraussetzungen
  • Einmalige Anmeldung > Anbieter > Berechtigungen hinzufügen, löschen, bearbeiten, anzeigen
  • Admin-Rolle im OneLogin-Konto Ihrer Organisation
  • OneLogin Desktop Single Sign-on (SSO) nicht verfügbar
  • Die E-Mail-Adressen der Benutzer sind in OneLogin und Genesys Cloud identisch

Fügen Sie Genesys Cloud als eine Anwendung hinzu, auf die die Mitglieder der Organisation mit den Anmeldeinformationen ihres OneLogin-Kontos zugreifen können.

Notizen:
  • Genesys Cloud unterstützt keine Assertion-Verschlüsselung für Single Sign-On Identitätsanbieter von Drittanbietern. Der Genesys Cloud Log-in Service erfordert Transport Layer Security (TLS). Da der Kanal verschlüsselt ist, besteht keine Notwendigkeit, Teile der Nachricht zu verschlüsseln.
  • Administratoren können optional die Standardanmeldung bei Genesys Cloud deaktivieren und die Authentifizierung ausschließlich über einen SSO-Anbieter erzwingen. Weitere Informationen finden Sie unter Konfigurieren Sie Genesys Cloud so, dass es sich nur mit SSO authentifiziert.
  • Administratoren können vier zusätzliche Zertifikate speichern, um die Geschäftskontinuität sicherzustellen. Wenn ein Zertifikat ungültig wird oder abläuft, bleibt die Integration erhalten, sofern eines der zusätzlichen Zertifikate gültig ist. 

  • Es gibt ein allgemeines Problem, wenn ein Dienstanbieter (SP) eine SAML-Antwort von einem Identitätsanbieter (IdP) erhält und ihre Systemuhren nicht synchronisiert sind. Dieses Problem kann dazu führen, dass Benutzer bei der Anmeldung aus ihrem Single Sign-On ausgesperrt werden. Das Problem könnte durch die Länge des Taktversatzes zwischen dem SP und dem IdP verursacht werden. Die Zeitverschiebung zwischen Genesys Cloud und Ihrem Identitätsanbieter darf nicht größer als 10 Sekunden sein.

  • Die Genesys Cloud-Desktop-App unterstützt nicht die Installation von Browsererweiterungen. Wenn Sie eine Azure Conditional Access-Richtlinie konfiguriert haben, die eine Browsererweiterung erfordert, müssen Sie einen von Genesys Cloud unterstützten Browser verwenden, auf dem die Microsoft Entra ID-Erweiterung installiert ist. In dieser Konfiguration funktioniert die einmalige Anmeldung mit der Desktop-App nicht.

OneLogin konfigurieren

Erstellen einer SAML-Anwendung

  1. Fügen Sie die OneLogin-App namens SAML Test Connector (ldP)hinzu.
  2. Klicken Sie auf der Seite der App auf die Registerkarte Konfiguration 

  3. Füllen Sie die folgenden Felder aus und lassen Sie die übrigen Felder frei.

    Feld Beschreibung
    Zielgruppe (Entitäts-ID)

    Geben Sie einen Wert ein, der zur Identifizierung Ihrer Organisation beim Identitätsanbieter verwendet wird, also „genesys.cloud.my-org“.
    ACS (Verbraucher) URL-Validator

    Geben Sie die URL Ihrer Genesys Cloud-Organisation für die AWS-Region ein:

    US-Ost (N. Virginia): Geben Sie ^https:\/\/login\.mypurecloud\.com\/saml
    US East 2 (Ohio): ^https:\/\/login\.use2.us-gov-pure\.cloud\/saml
    US West (Oregon): https://login.usw2.pure.cloud/saml
    Kanada (Canada Central): https://login.cac1.pure.cloud/saml
    Südamerika (São Paulo): ^https:\/\/login\.sae1\.pure\.cloud\/saml
    EMEA (Frankfurt) https://login.mypurecloud.de/saml
    EU (Irland) https://login.mypurecloud.ie/saml
    EU (London) https://login.euw2.pure.cloud/saml
    Asien-Pazifik (Mumbai) https://login.aps1.pure.cloud/saml
    Asien-Pazifik (Seoul) https://login.apne2.pure.cloud/saml
    Asien-Pazifik (Sydney) https://login.mypurecloud.com.au/saml
    Asien-Pazifik (Tokio) https://login.mypurecloud.jp/saml
    ACS (Verbraucher) URL

    Geben Sie die URL Ihrer Genesys Cloud Organisation für die AWS Region ein:
    US-Ost (N. Virginia): https://login.mypurecloud.com/saml
    US East 2 (Ohio): https://login.use2.us-gov-pure.cloud/saml
    US West (Oregon): https://login.usw2.pure.cloud/saml
    Kanada (Canada Central): https://login.cac1.pure.cloud/saml
    Südamerika (São Paulo): https://login.sae1.pure.cloud/saml
    EMEA (Frankfurt) https://login.mypurecloud.de/saml
    EU (Irland) https://login.mypurecloud.ie/saml
    EU (London) https://login.euw2.pure.cloud/saml
    Asien-Pazifik (Mumbai) https://login.aps1.pure.cloud/saml
    Asien-Pazifik (Seoul) https://login.apne2.pure.cloud/saml
    Asien-Pazifik (Sydney)     https://login.mypurecloud.com.au/saml
    Asien-Pazifik (Tokio) https://login.mypurecloud.jp/saml
    Single-Logout-URI

    Geben Sie die URL Ihrer Genesys Cloud-Organisation für die AWS-Region ein:

    US-Ost (N. Virginia): https://login.mypurecloud.com/saml
    US East 2 (Ohio): https://login.use2.us-gov-pure.cloud/saml/logout
    US West (Oregon):     https://login.usw2.pure.cloud/saml
    Kanada (Canada Central): https://login.cac1.pure.cloud/saml
    Südamerika (São Paulo): https://login.sae1.pure.cloud/saml/logout
    EMEA (Frankfurt) https://login.mypurecloud.de/saml
    EU (Irland) https://login.mypurecloud.ie/saml EU (London)
    https://login.euw2.pure.cloud/saml Asien-Pazifik (Mumbai)
    https://login.aps1.pure.cloud/saml Asien-Pazifik (Seoul)
    https://login.apne2.pure.cloud/saml
    Asien-Pazifik (Sydney)     https://login.mypurecloud.com.au/saml
    Asien-Pazifik (Tokio) https://login.mypurecloud.jp/saml
    SLO-Antrag unterschreiben

    Kreuzen Sie das Kästchen an.
    SLO Antwort unterschreiben

    Kreuzen Sie das Kästchen an.
  4. Klicken Sie auf die Registerkarte Parameter
  5. Klicken Sie auf Parameter hinzufügen.
  6. Füllen Sie die folgenden Felder aus. 
    Feld Beschreibung
    Name Typ Organisationsname
    Flaggen Prüfen Sie In SAML-Assertion einbeziehen.
  7. Klicken Sie auf Speichern.
  8. Klicken Sie auf die neu erstellte Organisationsname Parameter.
  9. Im Feld Wert:
    1. Wählen Sie aus der Liste Makro.
    2. Geben Sie den Kurznamen Ihrer Genesys Cloud-Organisation ein. Wenn Sie den Kurznamen Ihrer Organisation nicht kennen, klicken Sie auf Admin > Kontoeinstellungen > Organisationseinstellungen in der Genesys-Cloud. 
  10. Klicken Sie auf Speichern.

SAML-Attribute

Wenn die folgenden zusätzlichen SAML-Attribute in der Assertion vorhanden sind, wirkt Genesys Cloud auf die Attribute. Bei den Attributen wird zwischen Groß- und Kleinschreibung unterschieden. 

Attributname Attributname
email  Die E-Mail-Adresse des Genesys Cloud-Benutzers muss authentifiziert werden.
  • Muss ein bestehender Genesys Cloud Benutzer sein.
  • Wenn der Identitätsanbieter keine E-Mail-Adresse als Betreff NameID verwendet, benötigen Sie eine gültige E-Mail-Adresse.
Dienstname 

Eine gültige URL, an die der Browser nach erfolgreicher Authentifizierung weitergeleitet werden soll, oder eines der folgenden Schlüsselwörter:

  • verzeichnis (leitet zum Genesys Cloud Collaborate-Client weiter)
  • directory-admin (leitet auf die Genesys Cloud Admin UI um)

Abrufen des Zertifikats für die Genesys Cloud-Konfiguration

  1. Klicken Sie auf die Registerkarte SSO
  2. Klicken Sie unter Zertifikat auf Details anzeigen.
  3. Wählen Sie unter dem X.509-Zertifikat „X.509 PEM“ und klicken Sie darauf Download.
  4. Speichern Sie das Zertifikat in einer Textdatei.

Abrufen der Metadaten für die Genesys Cloud-Konfiguration

Hinweis: Genesys Cloud unterstützt nur die http-redirect SAML URL. Auf der Registerkarte OneLogin SSO wird diese URL nicht mehr standardmäßig im Feld SAML 2.0-Endpunkt (HTTP) angezeigt. (Stattdessen wird nun die http-post-URL angezeigt.) Die http-Redirect-URL ist jedoch weiterhin in der SAML-Metadaten-Datei verfügbar.
  1. Klicken Sie auf die Registerkarte SSO .
  2. Kopieren Sie die folgenden Metadaten, die Sie für die Genesys Cloud-Konfiguration benötigen, in eine Textdatei. 
    Feld Beschreibung
    Emittenten-URL Kopieren Sie die URL aus dem Feld Issuer URL
    SAML 2.0-Endpunkt (HTTP)
    1. Klicken Sie unter Weitere Aktionen auf SAML-Metadaten.
    2. Laden Sie die SAML-Metadaten-Datei herunter und öffnen Sie sie.
    3. Suchen Sie das SingleSignOnService-Tag mit einer Bindung gleich „urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect“ zum Beispiel:  <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-organization/onelogin.com/trust/saml2/http-redirect/sso/123456>
    4. Kopieren Sie die URL nach „Location =“, zum Beispiel:
      https://your-organization/onelogin.com/trust/saml2/http-redirect/sso/123456
    SLO-Endpunkt (HTTP) Kopieren Sie die URL aus dem Feld SLO Endpoint (HTTP).

Genesys Cloud konfigurieren

  1. Klicken Sie in Genesys Cloud auf Admin.
  2. Klicken Sie unter Integrationen auf Single Sign-on.
  3. Klicken Sie auf die Registerkarte OneLogin
  4. Geben Sie die im vorherigen Verfahren gesammelten Informationen ein:
    Feld Beschreibung
    Zertifikat

    Um X.509-Zertifikate für die SAML-Signaturvalidierung hochzuladen, führen Sie einen der folgenden Schritte aus.

    1. Um ein Zertifikat hochzuladen, klicken Sie auf Select Certificates to upload.
    2. Wählen Sie das X.509-Zertifikat aus.
    3. Klicken Sie auf . Öffnen Sie.
    4. Um ein Backup-Zertifikat zu laden, können Sie die Schritte 1-3 wiederholen.

    Oder Sie können:

    1. Ziehen Sie Ihre Zertifikatsdatei und legen Sie sie ab.
    2. Um ein Backup-Zertifikat zu laden, können Sie den ersten Schritt wiederholen.

    Hochgeladene Zertifikate werden mit ihrem Ablaufdatum angezeigt. Um ein Zertifikat zu entfernen, klicken Sie auf X.

    Hinweis: Um ein ablaufendes Zertifikat zu erneuern oder zu aktualisieren, befolgen Sie diese Anweisungen zum Hochladen von X.509-Zertifikaten und wiederholen Sie die Schritte 1–3. Sie können pro SSO-Konfiguration bis zu fünf Zertifikate in Genesys Cloud hochladen, und Genesys Cloud wählt beim einmaligen Anmelden und Abmelden das richtige Zertifikat aus.

    OneLogin-Aussteller-URI Geben Sie die URL aus dem Feld Issuer URL in OneLogin ein.
    Ziel-URL

    Geben Sie die URL aus dem Feld SAML 2.0-Endpunkt (HTTP) ein. 
    Single-Logout-URI

    Geben Sie die URL aus dem Feld SLO-Endpunkt (HTTP) in OneLogin ein.
    Single-Logout-Bindung Wählen Sie HTTP-Redirect.
    Zielgruppe (Entitäts-ID)  Geben Sie den Wert der OneLogin-Zielgruppe (EntityID) ein. Stellen Sie sicher, dass dieser Wert sowohl in Genesys Cloud als auch in OneLogin derselbe ist. 
  5. Klicken Sie auf Speichern.