Salesforce als Single Sign-On-Anbieter hinzufügen

Voraussetzungen:
  • Einmalige Anmeldung > Anbieter > Berechtigungen hinzufügen, löschen, bearbeiten, anzeigen
  • Admin-Rolle im Salesforce-Konto Ihrer Organisation
  • Salesforce als Identitätsanbieter aktiviert
  • Salesforce-Domäne wird für alle Benutzer bereitgestellt
  • Die E-Mail-Adressen der Benutzer sind in Salesforce und Genesys Cloud identisch

Fügen Sie Genesys Cloud als eine Anwendung hinzu, auf die die Mitglieder der Organisation mit den Zugangsdaten zu ihrem Salesforce-Konto zugreifen können.

Notizen:
  • Genesys Cloud unterstützt keine Assertion-Verschlüsselung für Single Sign-On Identitätsanbieter von Drittanbietern. Der Genesys Cloud Log-in Service erfordert Transport Layer Security (TLS). Da der Kanal verschlüsselt ist, besteht keine Notwendigkeit, Teile der Nachricht zu verschlüsseln.
  • Administratoren können optional die Standardanmeldung bei Genesys Cloud deaktivieren und die Authentifizierung ausschließlich über einen SSO-Anbieter erzwingen. Weitere Informationen finden Sie unter Konfigurieren Sie Genesys Cloud so, dass es sich nur mit SSO authentifiziert.
  • Administratoren können vier zusätzliche Zertifikate speichern, um die Geschäftskontinuität sicherzustellen. Wenn ein Zertifikat ungültig wird oder abläuft, bleibt die Integration erhalten, sofern eines der zusätzlichen Zertifikate gültig ist. 

  • Es gibt ein allgemeines Problem, wenn ein Dienstanbieter (SP) eine SAML-Antwort von einem Identitätsanbieter (IdP) erhält und ihre Systemuhren nicht synchronisiert sind. Dieses Problem kann dazu führen, dass Benutzer bei der Anmeldung aus ihrem Single Sign-On ausgesperrt werden. Das Problem könnte durch die Länge des Taktversatzes zwischen dem SP und dem IdP verursacht werden. Die Zeitverschiebung zwischen Genesys Cloud und Ihrem Identitätsanbieter darf nicht größer als 10 Sekunden sein.

  • Die Genesys Cloud-Desktop-App unterstützt nicht die Installation von Browsererweiterungen. Wenn Sie eine Azure Conditional Access-Richtlinie konfiguriert haben, die eine Browsererweiterung erfordert, müssen Sie einen von Genesys Cloud unterstützten Browser verwenden, auf dem die Microsoft Entra ID-Erweiterung installiert ist. In dieser Konfiguration funktioniert die einmalige Anmeldung mit der Desktop-App nicht.

Salesforce konfigurieren

Fehler mit Hilfe des Identity Provider-Ereignisprotokolls zu beheben.

  1. Um eine verbundene App für Genesys Cloud zu erstellen, App Manager wählen Neue vernetzte App .

  2. Auf der Neue verbundene App Geben Sie auf der Seite „Genesys Cloud“ die folgenden Einstellungen in der verbundenen App ein.

    Hinweis: Unter Web-App-Einstellungen , stellen Sie sicher, dass Sie auswählen Aktivieren Sie SAML .


    Feld Beschreibung
    Entitäts-ID

    Der Wert kann eine beliebige eindeutige Zeichenfolge sein, die Sie zur Identifizierung der vertrauenswürdigen Partei verwenden möchten.
    ACS-URL Ändern Sie die Region Ihrer Genesys Cloud Organisation.
    US-Ost (N. Virginia): https://login.mypurecloud.com/saml
    US East 2 (Ohio): https://login.use2.us-gov-pure.cloud/saml
    US West (Oregon):     https://login.usw2.pure.cloud/saml
    Kanada (Canada Central): https://login.cac1.pure.cloud/saml
    Südamerika (São Paulo): https://login.sae1.pure.cloud/saml
    EMEA (Frankfurt) https://login.mypurecloud.de/saml
    EU (Irland) https://login.mypurecloud.ie/saml
    EU (London) https://login.euw2.pure.cloud/saml
    Asien-Pazifik (Mumbai) https://login.aps1.pure.cloud/saml
    Asien-Pazifik (Seoul) https://login.apne2.pure.cloud/saml
    Asien-Pazifik (Sydney)     https://login.mypurecloud.com.au/saml
    Asien-Pazifik (Tokio) https://login.mypurecloud.jp/saml
    Einzelnes Logout aktivieren Kreuzen Sie das Kästchen an.
    Single-Logout-URI Ändern Sie die Region Ihrer Genesys Cloud Organisation.
    US-Ost (N. Virginia): https://login.mypurecloud.com/saml
    US East 2 (Ohio): https://login.use2.us-gov-pure.cloud/saml/logout
    US West (Oregon):     https://login.usw2.pure.cloud/saml
    Kanada (Canada Central): https://login.cac1.pure.cloud/saml
    Südamerika (São Paulo): https://login.sae1.pure.cloud/saml/logout
    EMEA (Frankfurt) https://login.mypurecloud.de/saml
    EU (Irland) https://login.mypurecloud.ie/saml EU (London)
    https://login.euw2.pure.cloud/saml Asien-Pazifik (Mumbai)
    https://login.aps1.pure.cloud/saml
    Asien-Pazifik (Seoul) https://login.apne2.pure.cloud/saml Asien-Pazifik (Sydney)
         https://login.mypurecloud.com.au/saml
    Asien-Pazifik (Tokio) https://login.mypurecloud.jp/saml
    Single-Logout-Bindung Wählen Sie HTTP Redirect.
    Typ auswählen Benutzername
    Emittent Ihr Salesforce-Domainname (https://yourID.my.salesforce.com)
    Name ID Format urn:oasis:names:tc:SAML:1.1:nameid-format:transient

  3. Erfassen Sie die folgenden Daten auf der App-Seite:

    Feld Beschreibung
    Zertifikat
    1. Klicken Sie auf den Zertifikatsnamen neben IdP-Zertifikat.
    2. Klicken Sie auf der Seite Certificate and Key Detail auf Download Certificate
    3. Speichern Sie das Zertifikat in einer Textdatei.
    Emittenten-URI Kopieren Sie den Wert Issuer
    Ziel-URI Kopieren Sie den Wert mit der Bezeichnung SP-Initiated Redirect Endpoint.
    Single-Logout-URI Kopieren Sie den Wert mit der Bezeichnung Single Logout Endpoint.
  4. Bieten Sie Salesforce-Benutzern Zugriff auf die Connected App für Genesys Cloud. 
    1. Klicken Sie unter Benutzer verwalten > Benutzer auf Bearbeiten für einen Benutzer
    2. Klicken Sie auf den Profiltyp des Benutzers, z. B. Vertrieb, Dienstleistungen oder Administrator, um die Profilseite zu öffnen.
    3. Klicken Sie unter Connected App Access auf die Connected App für Genesys Cloud. 

SAML-Attribute

Wenn die folgenden SAML-Attribute in der Assertion vorhanden sind, arbeitet Genesys Cloud mit diesen Attributen. Bei den Attributen wird zwischen Groß- und Kleinschreibung unterschieden. 

Attributname Attributname
Organisationsname 
  • Für vom Identitätsanbieter initiiertes Single Sign-On: Verwenden Sie die Kurzbezeichnung der Organisation.
  • Für vom Dienstanbieter initiiertes Single Sign-On: Vergewissern Sie sich, dass der Organisationsname mit dem von Ihnen gewählten Organisationsnamen übereinstimmt. Anwendbar, wenn eine Organisation mehrere Genesys Cloud Organisationen unterhält, die einen einzigen Identitätsanbieter verwenden. 
email  E-Mail-Adresse des zu authentifizierenden Genesys Cloud-Benutzers.
  • Muss ein bestehender Genesys Cloud Benutzer sein.
  • Wenn der Identitätsanbieter keine E-Mail-Adresse als Betreff NameID verwendet, benötigen Sie eine gültige E-Mail-Adresse.
Dienstname 

Eine gültige URL, an die der Browser nach erfolgreicher Authentifizierung weitergeleitet werden soll, oder eines der folgenden Schlüsselwörter:

  • verzeichnis (leitet zum Genesys Cloud Collaborate-Client weiter)
  • directory-admin (leitet auf die Genesys Cloud Admin UI um)

Genesys Cloud konfigurieren

  1. Klicken Sie in Genesys Cloud auf Admin.
  2. Klicken Sie unter Integrationen auf Single Sign-on
  3. Klicken Sie auf die Registerkarte Salesforce

  4. Geben Sie die in Salesforce gesammelten Informationen ein.

    Feld Beschreibung
    Zertifikat

    Um X.509-Zertifikate für die SAML-Signaturvalidierung hochzuladen, führen Sie einen der folgenden Schritte aus.

    1. Um ein Zertifikat hochzuladen, klicken Sie auf Select Certificates to upload.
    2. Wählen Sie das X.509-Zertifikat aus.
    3. Klicken Sie auf . Öffnen Sie.
    4. Um ein Backup-Zertifikat zu laden, können Sie die Schritte 1-3 wiederholen.

    Oder Sie können:

    1. Ziehen Sie Ihre Zertifikatsdatei und legen Sie sie ab.
    2. Um ein Backup-Zertifikat zu laden, können Sie den ersten Schritt wiederholen.

    Hochgeladene Zertifikate werden mit ihrem Ablaufdatum angezeigt. Um ein Zertifikat zu entfernen, klicken Sie auf X.

    Hinweis: Um ein ablaufendes Zertifikat zu erneuern oder zu aktualisieren, befolgen Sie diese Anweisungen zum Hochladen von X.509-Zertifikaten und wiederholen Sie die Schritte 1–3. Sie können pro SSO-Konfiguration bis zu fünf Zertifikate in Genesys Cloud hochladen, und Genesys Cloud wählt beim einmaligen Anmelden und Abmelden das richtige Zertifikat aus.

    Emittenten-URI Geben Sie Ihren Salesforce-Domainnamen ein (https://yourID.my.salesforce.com)
    Ziel-URI Geben Sie die URL mit der Bezeichnung SP-Initiated Redirect Endpoint in der Salesforce-App-Seite ein
    Single-Logout-URI Geben Sie die URL mit der Bezeichnung SP-Initiated Redirect Endpoint in der Salesforce-App-Seite ein
    Single-Logout-Bindung Wählen Sie HTTP Redirect.
    Vertrauenswürdige Teilnehmer-ID Fügen Sie den eindeutigen Bezeichner hinzu, den Sie als Entitäts-ID in der Salesforce-App-Seite angegeben haben. 
  5. Klicken Sie auf Speichern.