Okta als Single Sign-On-Anbieter hinzufügen

Voraussetzungen:
  • Einzelanmeldung > Anbieter > Berechtigungen für Hinzufügen, Löschen, Bearbeiten, und Ansicht
  • Admin-Rolle im Okta-Konto Ihrer Organisation
  • Die E-Mail-Adressen der Benutzer sind in Okta und Genesys Cloud identisch

Fügen Sie Genesys Cloud als Anwendung hinzu, auf die die Mitglieder der Organisation mit den Anmeldeinformationen ihres Okta-Kontos zugreifen können.

Notizen:
  • Genesys Cloud unterstützt keine Assertion-Verschlüsselung für Single Sign-On Identitätsanbieter von Drittanbietern. Der Genesys Cloud Log-in Service erfordert Transport Layer Security (TLS). Da der Kanal verschlüsselt ist, besteht keine Notwendigkeit, Teile der Nachricht zu verschlüsseln.
  • Administratoren können optional die Standardanmeldung bei Genesys Cloud deaktivieren und die Authentifizierung ausschließlich über einen SSO-Anbieter erzwingen. Weitere Informationen finden Sie unter Konfigurieren Sie Genesys Cloud so, dass es sich nur mit SSO authentifiziert.
  • Administratoren können vier zusätzliche Zertifikate speichern, um die Geschäftskontinuität sicherzustellen. Wenn ein Zertifikat ungültig wird oder abläuft, bleibt die Integration erhalten, sofern eines der zusätzlichen Zertifikate gültig ist. 

  • Es gibt ein allgemeines Problem, wenn ein Dienstanbieter (SP) eine SAML-Antwort von einem Identitätsanbieter (IdP) erhält und ihre Systemuhren nicht synchronisiert sind. Dieses Problem kann dazu führen, dass Benutzer bei der Anmeldung aus ihrem Single Sign-On ausgesperrt werden. Das Problem könnte durch die Länge des Taktversatzes zwischen dem SP und dem IdP verursacht werden. Die Zeitverschiebung zwischen Genesys Cloud und Ihrem Identitätsanbieter darf nicht größer als 10 Sekunden sein.

  • Die Genesys Cloud-Desktop-App unterstützt nicht die Installation von Browsererweiterungen. Wenn Sie eine Azure Conditional Access-Richtlinie konfiguriert haben, die eine Browsererweiterung erfordert, müssen Sie einen von Genesys Cloud unterstützten Browser verwenden, auf dem die Microsoft Entra ID-Erweiterung installiert ist. In dieser Konfiguration funktioniert die einmalige Anmeldung mit der Desktop-App nicht.

Okta konfigurieren

Abrufen des Zertifikats für die Okta-Konfiguration

  1. Klicken Sie in Genesys Cloud auf Admin.
  2. Klicken Sie unter Integrationen auf Single Sign-on
  3. Klicken Sie auf die Registerkarte Okta
  4. Unter Genesys Cloud Signing Certificate, klicken Sie auf Zertifikat herunterladen.
  5. Flow speichern

Erstellen einer SAML-Anwendung

  1. Erstellen Sie eine SAML-Anwendung für Genesys Cloud. Befolgen Sie die Anweisungen für zum Einrichten einer SAML-Anwendung in Okta in der Okta-Entwicklerdokumentation.

  2. Geben Sie in das Feld Allgemein > Single sign on URL die URL Ihrer Genesys Cloud Organisation auf Basis der AWS Region ein

    AWS-Region URL
    US-Ost (N. Virginia https://login.mypurecloud.com/saml
    US East 2 (Ohio) https://login.use2.us-gov-pure.cloud/saml
    US West (Oregon) https://login.usw2.pure.cloud/saml 
    Kanada (Kanada Zentral) https://login.cac1.pure.cloud/saml 
    Südamerika (São Paulo) https://login.sae1.pure.cloud/saml 
    EMEA (Frankfurt) https://login.mypurecloud.de/saml
    EU (Irland) https://login.mypurecloud.ie/saml 
    EU (London) https://login.euw2.pure.cloud/saml
    Asien-Pazifik (Mumbai) https://login.aps1.pure.cloud/saml
    Asien-Pazifik (Seoul) https://login.apne2.pure.cloud/saml 
    Asien-Pazifik (Sydney) https://login.mypurecloud.com.au/saml
    Asien-Pazifik (Tokio) https://login.mypurecloud.jp/saml

  3. Unter Allgemein > Audience URIkann der Wert eine beliebige eindeutige Zeichenfolge sein, die Sie zur Identifizierung Ihrer Genesys Cloud Organisation verwenden möchten

  4. Für Allgemein > Name ID Format, wählen Sie EmailAdresse

  5. Klicken Sie auf Erweiterte Einstellungen anzeigen.

  6. Klicken Sie im Feld Allgemein > Signaturzertifikat auf Durchsuchen.
  7. Wählen Sie die Zertifikatsdatei, die in Schritt 5 von "Zertifikat für Okta-Konfiguration abrufen" gespeichert wurde
  8. Klicken Sie auf Zertifikat hochladen.

  9. Klicken Sie auf das Kontrollkästchen General > Enable Single Logout .

  10. Unter Allgemein > Single Logout URLgeben Sie die URL Ihrer Genesys Cloud Organisation basierend auf der AWS Region ein

    AWS-Region URL
    US-Ost (N. Virginia https://login.mypurecloud.com/saml
    US East 2 (Ohio) https://login.use2.us-gov-pure.cloud/saml/logout
    US West (Oregon) https://login.usw2.pure.cloud/saml 
    Kanada (Kanada Zentral) https://login.cac1.pure.cloud/saml 
    Südamerika (São Paulo) https://login.sae1.pure.cloud/saml/logout 
    EMEA (Frankfurt) https://login.mypurecloud.de/saml
    EU (Irland) https://login.mypurecloud.ie/saml 
    EU (London) https://login.euw2.pure.cloud/saml
    Asien-Pazifik (Mumbai) https://login.aps1.pure.cloud/saml
    Asien-Pazifik (Seoul) https://login.apne2.pure.cloud/saml 
    Asien-Pazifik (Sydney) https://login.mypurecloud.com.au/saml
    Asien-Pazifik (Tokio) https://login.mypurecloud.jp/saml
  11. Verwenden Sie die Standardwerte für andere Felder.
  12. Legen Sie die Organisation so fest, dass Genesys Cloud-Benutzer sie nicht eingeben müssen, wenn sie sich anmelden. Erstellen Sie einen neuen Eintrag in Attribute Statements (Optional) mit den folgenden Werten 
    Feld Beschreibung
    Name Typ Organisationsname
    Seitenformat Auf eingestellt lassen Nicht spezifiziert.
    Wert Geben Sie den Kurznamen Ihrer Genesys Cloud Organisation ein. Wenn Sie die Kurzbezeichnung Ihrer Organisation nicht kennen, klicken Sie auf Admin > Kontoeinstellungen > Organisationseinstellungen in Genesys Cloud.
Hinweis: Es sollten keine weiteren Optionen in der App-Konfiguration für Okta geändert werden. Für Optionen wie die Anmeldeseite der Anwendung und die Fehlerseite für den Anwendungszugang wird die Standardoption bevorzugt.

SAML-Attribute

Wenn die folgenden zusätzlichen SAML-Attribute in der Assertion vorhanden sind, arbeitet Genesys Cloud mit den Attributen. Bei den Attributen wird zwischen Groß- und Kleinschreibung unterschieden. 

Attributname Attributname
email  E-Mail-Adresse des zu authentifizierenden Genesys Cloud-Benutzers.
  • Muss ein bestehender Genesys Cloud Benutzer sein.
  • Wenn der Identitätsanbieter keine E-Mail-Adresse als Betreff NameID verwendet, benötigen Sie eine gültige E-Mail-Adresse.
Dienstname 

Eine gültige URL, an die der Browser nach erfolgreicher Authentifizierung weitergeleitet werden soll, oder eines der folgenden Schlüsselwörter:

  • verzeichnis (leitet zum Genesys Cloud Collaborate-Client weiter)
  • directory-admin (leitet auf die Genesys Cloud Admin UI um)

Abrufen der Metadaten für die Genesys Cloud-Konfiguration

  1. Klicken Sie unter Anmeldung > Einstellungen auf Einrichtungsanweisungen anzeigen , um Einrichtungsinformationen anzuzeigen
  2. Beachten Sie die folgenden Identity Provider-Metadaten, die Sie für die Genesys Cloud-Konfiguration benötigen. 
    Metadaten Beschreibung
    Identity Provider Single Sign-on URL Verwenden Sie für die Ziel-URI Einstellung in Genesys Cloud.
    Identity Provider Single Sign-on URL Verwendung für die Einstellung Target URI in Genesys Cloud
    Identitätsanbieter Emittent Verwenden Sie für die Okta Aussteller-URI Einstellung in Genesys Cloud.
    X.509-Zertifikat Verwenden Sie für die Okta Zertifikat Einstellung in Genesys Cloud.

Holen Sie sich das Zertifikat für die Genesys Cloud-Konfiguration

  1. Klicken Sie auf der Seite Identity Provider-Metadaten auf Zertifikat herunterladen.
  2. Speichern Sie die Datei als .crt oder .pem Datei.

Genesys Cloud konfigurieren

  1. Klicken Sie in Genesys Cloud auf Admin.
  2. Klicken Sie unter Integrationen auf Single Sign-on
  3. Klicken Sie auf die Registerkarte Okta
  4. Stellen Sie die von Okta erfassten Metadaten des Identitätsanbieters bereit.
    Feld Beschreibung
    Zertifikat

    Um X.509-Zertifikate für die SAML-Signaturvalidierung hochzuladen, führen Sie einen der folgenden Schritte aus.

    1. Um ein Zertifikat hochzuladen, klicken Sie auf Select Certificates to upload.
    2. Wählen Sie das X.509-Zertifikat aus.
    3. Klicken Sie auf . Öffnen Sie.
    4. Um ein Backup-Zertifikat zu laden, können Sie die Schritte 1-3 wiederholen.

    Oder Sie können:

    1. Ziehen Sie Ihre Zertifikatsdatei und legen Sie sie ab.
    2. Um ein Backup-Zertifikat zu laden, können Sie den ersten Schritt wiederholen.

    Hochgeladene Zertifikate werden mit ihrem Ablaufdatum angezeigt. Um ein Zertifikat zu entfernen, klicken Sie auf X.

    Hinweis: Um ein ablaufendes Zertifikat zu erneuern oder zu aktualisieren, befolgen Sie diese Anweisungen zum Hochladen von X.509-Zertifikaten und wiederholen Sie die Schritte 1–3. Sie können pro SSO-Konfiguration bis zu fünf Zertifikate in Genesys Cloud hochladen, und Genesys Cloud wählt beim einmaligen Anmelden und Abmelden das richtige Zertifikat aus.

    Emittenten-URI Geben Sie den Aussteller des Identitätsanbieters ein.
    Ziel-URL Geben Sie die Identity Provider Single Sign-on URLein. 
    Single-Logout-URI Geben Sie die Identity Provider Single Sign-on URLein.
    Single-Logout-Bindung Wählen Sie HTTP Redirect.
    Zielgruppe (Entitäts-ID)  Geben Sie den in Schritt 3 von "Erstellen einer SAML-Anwendung" verwendeten Wert ein
  5. Klicken Sie auf Speichern.