Hinzufügen eines generischen Single Sign-On-Anbieters

Voraussetzungen:
  • Einzelanmeldung > Anbieter > Berechtigungen hinzufügen, löschen, bearbeiten, anzeigen
  • Admin-Rolle im Konto des Identitätsanbieters Ihrer Organisation
  • Die E-Mail-Adressen der Benutzer sind im Konto des Identitätsanbieters Ihrer Organisation und in Genesys Cloud identisch

Die generische Identitätsanbieter-Konfiguration ermöglicht Genesys Cloud-Kunden die Integration mit den meisten Identitätsanbietern, die SAML 2.0 unterstützen. 

Notizen:
  • Genesys Cloud unterstützt keine Assertion-Verschlüsselung für Single Sign-On Identitätsanbieter von Drittanbietern. Der Genesys Cloud Log-in Service erfordert Transport Layer Security (TLS). Da der Kanal verschlüsselt ist, besteht keine Notwendigkeit, Teile der Nachricht zu verschlüsseln.
  • Administratoren können optional die Standardanmeldung bei Genesys Cloud deaktivieren und die Authentifizierung ausschließlich über einen SSO-Anbieter erzwingen. Weitere Informationen finden Sie unter Konfigurieren Sie Genesys Cloud so, dass es sich nur mit SSO authentifiziert.
  • Administratoren können vier zusätzliche Zertifikate speichern, um die Geschäftskontinuität sicherzustellen. Wenn ein Zertifikat ungültig wird oder abläuft, bleibt die Integration erhalten, sofern eines der zusätzlichen Zertifikate gültig ist. 
  • Es gibt ein allgemeines Problem, wenn ein Dienstanbieter (SP) eine SAML-Antwort von einem Identitätsanbieter (IdP) erhält und ihre Systemuhren nicht synchronisiert sind. Dieses Problem kann dazu führen, dass Benutzer bei der Anmeldung aus ihrem Single Sign-On ausgesperrt werden. Das Problem könnte durch die Länge des Taktversatzes zwischen dem SP und dem IdP verursacht werden. Die Zeitverschiebung zwischen Genesys Cloud und Ihrem Identitätsanbieter darf nicht größer als 10 Sekunden sein.

  • Die Genesys Cloud-Desktop-App unterstützt nicht die Installation von Browsererweiterungen. Wenn Sie eine Azure Conditional Access-Richtlinie konfiguriert haben, die eine Browsererweiterung erfordert, müssen Sie einen von Genesys Cloud unterstützten Browser verwenden, auf dem die Microsoft Entra ID-Erweiterung installiert ist. In dieser Konfiguration funktioniert die einmalige Anmeldung mit der Desktop-App nicht.

Konfigurieren Sie den Identitätsanbieter Ihres Unternehmens

Holen Sie sich das Zertifikat für die Genesys Cloud-Konfiguration

Suchen und laden Sie das verschlüsselte öffentliche Zertifikat Ihres Identitätsanbieters für die SAML-Signaturvalidierung herunter.

Notiz: Genesys Cloud akzeptiert PEM- und DER-codierte Zertifikate sowie Base64-codierte Zertifikate.

Abrufen der Metadaten für die Genesys Cloud-Konfiguration

Suchen Sie die Metadatendatei Ihres Identitätsanbieters und laden Sie sie herunter, die den Aussteller (Entitäts-ID), die Single-Sign-On-URL und die Single-Logout-URL enthält, um Genesys Cloud im Konto Ihres Identitätsanbieters zu konfigurieren.

Geben Sie die URL des Assertion Consumer Service (ACS) an

Wenn Sie aufgefordert werden, die URL des Assertion Consumer Service (ACS) einzugeben, wählen Sie die entsprechende URL auf der Grundlage Ihrer AWS-Bereitstellungsregion aus.

AWS-Region

URL

US-Ost (N. Virginia

https://login.mypurecloud.com/saml

US East 2 (Ohio)

https://login.use2.us-gov-pure.cloud/saml

US West (Oregon)

https://login.usw2.pure.cloud/saml 

Kanada (Kanada Zentral)

https://login.cac1.pure.cloud/saml 

Südamerika (São Paulo)

https://login.sae1.pure.cloud/saml 

EMEA (Frankfurt)

https://login.mypurecloud.de/saml

EMEA (Irland)

https://login.mypurecloud.ie/saml 

EMEA (London)

https://login.euw2.pure.cloud/saml

EMEA (VAE)

https://login.mec1.pure.cloud/saml

EMEA (Zürich)

https://login.euc2.pure.cloud/saml

Asien-Pazifik (Mumbai)

https://login.aps1.pure.cloud/saml

Asien-Pazifik (Seoul)

https://login.apne2.pure.cloud/saml

Asien-Pazifik (Sydney)

https://login.mypurecloud.com.au/saml

Asien-Pazifik (Tokio)

https://login.mypurecloud.jp/saml

Asien-Pazifik (Osaka)

https://login.apne3.pure.cloud/saml

Geben Sie die Single Logout URL an

Wenn Sie aufgefordert werden, die URL des Assertion Consumer Service (ACS) einzugeben, wählen Sie die entsprechende URL auf der Grundlage Ihrer AWS-Bereitstellungsregion aus.

AWS-Region

URL

US-Ost (N. Virginia

https://login.mypurecloud.com/saml/logout

US East 2 (Ohio)

https://login.use2.us-gov-pure.cloud/saml/logout

US West (Oregon)

https://login.usw2.pure.cloud/saml/logout 

Kanada (Kanada Zentral)

https://login.cac1.pure.cloud/saml/logout 

Südamerika (São Paulo)

https://login.sae1.pure.cloud/saml/logout 

EMEA (Frankfurt)

https://login.mypurecloud.de/saml/logout

EMEA (Irland)

https://login.mypurecloud.ie/saml/logout 

EMEA (London)

https://login.euw2.pure.cloud/saml/logout

EMEA (VAE)

https://login.mec1.pure.cloud/saml/logout

EMEA (Zürich)

https://login.euc2.pure.cloud/saml/logout

Asien-Pazifik (Mumbai)

https://login.aps1.pure.cloud/saml/logout

Asien-Pazifik (Seoul)

https://login.apne2.pure.cloud/saml/logout

Asien-Pazifik (Sydney)

https://login.mypurecloud.com.au/saml/logout

Asien-Pazifik (Tokio)

https://login.mypurecloud.jp/saml/logout

Asien-Pazifik (Osaka)

https://login.apne3.pure.cloud/saml/logout

Geben Sie die Entitäts-ID des Dienstanbieters an

Wenn Sie aufgefordert werden, die Service Provider Entity ID einzugeben, kann der Wert eine beliebige eindeutige Zeichenfolge sein, die Sie zur Identifizierung Ihrer Genesys Cloud Organisation verwenden möchten. Das Feld wird manchmal auch Issuer oder Audience URI genannt.

Stellen Sie das Genesys Cloud Signing-Zertifikat bereit

Wenn Sie aufgefordert werden, ein Signierzertifikat einzugeben, laden Sie die Datei aus der Genesys Cloud hoch.

  1. Klicken Sie in Genesys Cloud auf Admin.
  2. Klicken Sie unter Integrationen auf Single Sign-on
  3. Klicken Sie auf die Registerkarte Generic SSO Provider .
  4. Unter Genesys Cloud Signing Certificate, klicken Sie auf Zertifikat herunterladen.
  5. Flow speichern

Konfigurieren Sie Benutzerattribute und Ansprüche

Konfigurieren Sie diese Genesys Cloud Benutzerattribute für Ihren Identitätsanbieter. Bei den Attributen wird zwischen Groß- und Kleinschreibung unterschieden. 

Attributname Attributname
Organisationsname 
  • Für vom Identitätsanbieter initiiertes Single Sign-On: Verwenden Sie die Kurzbezeichnung der Organisation.
  • Für vom Dienstanbieter initiiertes Single Sign-On: Vergewissern Sie sich, dass der Organisationsname mit dem von Ihnen gewählten Organisationsnamen übereinstimmt. Anwendbar, wenn eine Organisation mehrere Genesys Cloud Organisationen unterhält, die einen einzigen Identitätsanbieter verwenden. 
email  E-Mail-Adresse des zu authentifizierenden Genesys Cloud-Benutzers.
  • Muss ein bestehender Genesys Cloud Benutzer sein.
  • Wenn der Identitätsanbieter keine E-Mail-Adresse als Betreff NameID verwendet, benötigen Sie eine gültige E-Mail-Adresse.
Dienstname 

Eine gültige URL, an die der Browser nach erfolgreicher Authentifizierung weitergeleitet werden soll, oder eines der folgenden Schlüsselwörter:

  • verzeichnis (leitet zum Genesys Cloud Collaborate-Client weiter)
  • directory-admin (leitet auf die Genesys Cloud Admin UI um)
Notiz: Informationen zum Hinzufügen eines benutzerdefinierten Anspruchs finden Sie in der Dokumentation Ihres Identitätsanbieters.

Genesys Cloud konfigurieren

  1. Klicken Sie in Genesys Cloud auf Admin.
  2. Klicken Sie unter Integrationen auf Single Sign-on.
  3. Klicken Sie auf die Registerkarte Generic SSO Provider .
  4. Geben Sie die Metadaten ein, die Sie vom Identitätsanbieter Ihres Unternehmens erhalten haben.

    Feld Beschreibung
    Anbieterlogo Fügen Sie ein SVG-Bild ein, das nicht größer als 25 KB ist.
    Anbietername Geben Sie den Namen des Identitätsanbieters ein.
    Zertifikat des Anbieters

    Um X.509-Zertifikate für die SAML-Signaturvalidierung hochzuladen, führen Sie einen der folgenden Schritte aus.

    1. Um ein Zertifikat hochzuladen, klicken Sie auf Select Certificates to upload.
    2. Wählen Sie das X.509-Zertifikat aus.
    3. Klicken Sie auf . Öffnen Sie.
    4. Um ein Backup-Zertifikat zu laden, können Sie die Schritte 1-3 wiederholen.

    Oder Sie können:

    1. Ziehen Sie Ihre Zertifikatsdatei und legen Sie sie ab.
    2. Um ein Backup-Zertifikat zu laden, können Sie den ersten Schritt wiederholen.

    Hochgeladene Zertifikate werden mit ihrem Ablaufdatum angezeigt. Um ein Zertifikat zu entfernen, klicken Sie auf X.

    Hinweis: Um ein ablaufendes Zertifikat zu erneuern oder zu aktualisieren, befolgen Sie diese Anweisungen zum Hochladen von X.509-Zertifikaten und wiederholen Sie die Schritte 1–3. Sie können pro SSO-Konfiguration bis zu fünf Zertifikate in Genesys Cloud hochladen, und Genesys Cloud wählt beim einmaligen Anmelden und Abmelden das richtige Zertifikat aus.

    Aussteller-URI des Anbieters Geben Sie die in der Metadaten-Datei des Identitätsanbieters angegebene EntityID ein.
    Ziel-URL Geben Sie die Umleitungs-URL in die Metadaten-Datei des Identitätsanbieters ein.
    Single-Logout-URI Geben Sie die Umleitungs-URL in die Metadaten-Datei des Identitätsanbieters ein.
    Single-Logout-Bindung Wählen Sie die gleiche Bindung wie die, die Sie im Identitätsprovider ausgewählt haben. Wenn keine Bindung angegeben wurde, wählen Sie HTTP Redirect.
    Vertrauenswürdige Teilnehmer-ID Geben Sie die Zeichenfolge ein, die zur Identifizierung von Genesys Cloud gegenüber dem Identitätsanbieter verwendet werden soll. 
    Hinweis: Wenn die Identitätsanbieter erwarten, dass der Dienstanbieter die Kennung der vertrauenden Partei angibt, geben Sie eine Zeichenfolge ein, um sowohl Genesys Cloud als auch den Identitätsanbieter einzugeben. Andere Identitätsanbieter erzeugen in ihrer Metadaten-Datei eine Kennung für die vertrauende Partei.
    Format der Namens-ID Wählen Sie das von Ihrem Identitätsanbieter unterstützte Name Identifier Format. Wenn Ihr Anbieter E-Mail Adresse unterstützt, ist dies das bevorzugte Format. Wenn kein Name Identifier Format bekannt ist, wählen Sie Unspecified
  5. (Optional) Wählen Sie Endpunktkomprimierung um die Genesys Cloud-Authentifizierungsanforderung zu komprimieren. Stellen Sie sicher, dass Sie dieses Feld nur dann auswählen und löschen, wenn der Identitätsanbieter keine Komprimierung für die HTTP-Umleitungsbindung unterstützt.
  6. Klicken Sie auf Speichern.