Hinzufügen von Microsoft ADFS als Single Sign-On-Anbieter

Voraussetzungen:
  • Einmalige Anmeldung > Anbieter > Berechtigungen hinzufügen, löschen, bearbeiten, anzeigen
  • Admin-Rolle im ADFS-Konto Ihrer Organisation
  • Die E-Mail-Adressen der Benutzer sind in ADFS und Genesys Cloud identisch
  • Jede Microsoft ADFS-Version, die SAML 2.0 unterstützt. Je nach Version gibt es einige Unterschiede in der Konfiguration.

Fügen Sie Genesys Cloud als eine Anwendung hinzu, auf die die Mitglieder der Organisation mit den Anmeldeinformationen ihres Microsoft ADFS-Kontos zugreifen können.

Notizen:
  • Genesys Cloud unterstützt keine Assertion-Verschlüsselung für Single Sign-On Identitätsanbieter von Drittanbietern. Der Genesys Cloud Log-in Service erfordert Transport Layer Security (TLS). Da der Kanal verschlüsselt ist, besteht keine Notwendigkeit, Teile der Nachricht zu verschlüsseln.
  • Administratoren können optional die Standardanmeldung bei Genesys Cloud deaktivieren und die Authentifizierung ausschließlich über einen SSO-Anbieter erzwingen. Weitere Informationen finden Sie unter Konfigurieren Sie Genesys Cloud so, dass es sich nur mit SSO authentifiziert.
  • Administratoren können vier zusätzliche Zertifikate speichern, um die Geschäftskontinuität sicherzustellen. Wenn ein Zertifikat ungültig wird oder abläuft, bleibt die Integration erhalten, sofern eines der zusätzlichen Zertifikate gültig ist. 
  • Es gibt ein allgemeines Problem, wenn ein Dienstanbieter (SP) eine SAML-Antwort von einem Identitätsanbieter (IdP) erhält und ihre Systemuhren nicht synchronisiert sind. Dieses Problem kann dazu führen, dass Benutzer bei der Anmeldung aus ihrem Single Sign-On ausgesperrt werden. Das Problem könnte durch die Länge des Taktversatzes zwischen dem SP und dem IdP verursacht werden. Die Zeitverschiebung zwischen Genesys Cloud und Ihrem Identitätsanbieter darf nicht größer als 10 Sekunden sein.

  • Die Genesys Cloud-Desktop-App unterstützt nicht die Installation von Browsererweiterungen. Wenn Sie eine Azure Conditional Access-Richtlinie konfiguriert haben, die eine Browsererweiterung erfordert, müssen Sie einen von Genesys Cloud unterstützten Browser verwenden, auf dem die Microsoft Entra ID-Erweiterung installiert ist. In dieser Konfiguration funktioniert die einmalige Anmeldung mit der Desktop-App nicht.

Konfigurieren Sie Microsoft ADFS

Abrufen des Zertifikats für die ADFS-Konfiguration

  1. Klicken Sie in Genesys Cloud auf Admin.
  2. Klicken Sie unter Integrationen auf Single Sign-on
  3. Klicken Sie auf die Registerkarte ADFS/Azure AD (Premium) .
  4. Unter Genesys Cloud Signing Certificate, klicken Sie auf Zertifikat herunterladen.
  5. Flow speichern

Hinzufügen eines Relying Party Trusts

  1. Gehen Sie zu Administrative Tools > AD FS 
  2. Gehen Sie in der Konsolenstruktur zu AD FS > Trust Relationships > Relying Party Trusts.
  3. Um den Assistenten zu öffnen, klicken Sie auf Add Relying Party Trust.
  4. Klicken Sie auf der Seite "Datenquelle auswählen" auf . Geben Sie die Daten über den antwortenden Teilnehmer manuell ein.
  5. Geben Sie auf der Seite Anzeigename festlegen einen Namen für den antwortenden Teilnehmer ein (das ist Genesys Cloud).
  6. Klicken Sie auf der Seite Profil auswählen auf AD FS-Profil, um SAML auszuwählen.
  7. Überspringen Sie die Seite Zertifikat konfigurieren.
  8. Führen Sie auf der Seite URL konfigurieren die folgenden Schritte aus:
    1. Klicken Sie auf . Aktivieren Sie die Unterstützung für das SAML 2.0 WebSSO-Protokoll
    2. Geben Sie in das Feld unter dem Kontrollkästchen die folgende URL Ihrer Genesys Cloud-Organisation basierend auf der AWS-Region ein.

      AWS-Region

      URL

      US-Ost (N. Virginia

      https://login.mypurecloud.com/saml

      US East 2 (Ohio) https://login.use2.us-gov-pure.cloud/saml
      US West (Oregon)

      https://login.usw2.pure.cloud/saml 

      Kanada (Kanada Zentral)

      https://login.cac1.pure.cloud/saml

      Südamerika (São Paulo)

      https://login.sae1.pure.cloud/saml

      EMEA (Frankfurt)

      https://login.mypurecloud.de/saml

      EMEA (Irland)

      https://login.mypurecloud.ie/saml 

      EMEA (London)

      https://login.euw2.pure.cloud/saml

      EMEA (VAE)

      https://login.mec1.pure.cloud/saml

      EMEA (Zürich)

      https://login.euc2.pure.cloud/saml

      Asien-Pazifik (Mumbai)

      https://login.aps1.pure.cloud/saml

      Asien-Pazifik (Seoul)

      https://login.apne2.pure.cloud/saml 

      Asien-Pazifik (Sydney)

      https://login.mypurecloud.com.au/saml

      Asien-Pazifik (Tokio)

      https://login.mypurecloud.jp/saml

      Asien-Pazifik (Osaka) https://login.apne3.pure.cloud/saml
  9. Geben Sie auf der Seite Configure Identifiers einen Wert für den Relying party trust identifier ein. Der Wert kann eine beliebige eindeutige Zeichenfolge sein, die Sie zur Identifizierung der vertrauenswürdigen Partei verwenden möchten. Wenn eine vertrauende Partei in einer Anfrage an den Federation Service identifiziert wird, verwendet AD FS die Logik der Präfixübereinstimmung, um ein passendes Parteivertrauen in der AD FS-Konfigurationsdatenbank zu ermitteln.
  10. Wählen Sie auf der Seite Multi-Faktor-Authentifizierung jetzt konfigurieren, ob Sie MFA konfigurieren möchten.
    Hinweis: In diesem Dokument wird nicht auf die Konfiguration von MFA eingegangen.
  11. Belassen Sie alle anderen Einstellungen auf den Standardwerten und klicken Sie auf Schließen.
  12. Klicken Sie auf der Seite Relying Party Trusts mit der rechten Maustaste auf den Trust, den Sie im vorherigen Verfahren erstellt haben, und wählen Sie Edit Claim Rules.
  13. Klicken Sie auf der Registerkarte Endpunkte auf SAML hinzufügen
  14. Wählen Sie für Endpunkttyp, SAML Logout.
    AWS-Region URL
    US-Ost (N. Virginia https://login.mypurecloud.com/saml/logout
    US East 2 (Ohio) https://login.use2.us-gov-pure.cloud/saml/logout
    US West (Oregon) https://login.usw2.pure.cloud/saml/logout 
    Kanada (Kanada Zentral) https://login.cac1.pure.cloud/saml/logout 
    Südamerika (São Paulo) https://login.sae1.pure.cloud/saml/logout 
    EMEA (Frankfurt) https://login.mypurecloud.de/saml/logout
    EMEA (Irland) https://login.mypurecloud.ie/saml/logout 
    EMEA (London) https://login.euw2.pure.cloud/saml/logout
    EMEA (VAE) https://login.mec1.pure.cloud/saml/logout
     EMEA (Zurich) https://login.euc2.pure.cloud/saml/logout
    Asien-Pazifik (Mumbai) https://login.aps1.pure.cloud/saml/logout
    Asien-Pazifik (Seoul) https://login.apne2.pure.cloud/saml/logout 
    Asien-Pazifik (Sydney) https://login.mypurecloud.com.au/saml/logout
    Asien-Pazifik (Tokio) https://login.mypurecloud.jp/saml/logout
    Asien-Pazifik (Osaka) https://login.apne3.pure.cloud/saml/logout
  15. Klicken Sie auf OK.
  16. Klicken Sie auf der Registerkarte Signatur auf Hinzufügen
  17. Wählen Sie das in Schritt 5 von "Abrufen des Zertifikats für die ADFS-Konfiguration" gespeicherte Zertifikat und klicken Sie auf Öffnen.
  18. Klicken Sie auf OK.

Hinzufügen der Anspruchsregeln

Fügen Sie drei Anspruchsregeln hinzu: E-Mail, E-Mail an NameID und Organisationsname.

  1. Klicken Sie auf der Seite Relying Party Trusts mit der rechten Maustaste auf den Trust, den Sie im vorherigen Verfahren erstellt haben, und wählen Sie Edit Claim Rules.
  2. Fügen Sie die E-Mail-Regel hinzu:
    1. Klicken Sie auf Regel hinzufügen
    2. Konfigurieren Sie die Anspruchsregel mit den folgenden Einstellungen:

      Eigenschaft Beschreibung
      Vorlage für Anspruchsregeln Wählen Sie LDAP-Attribute als Claims senden.
      Name der Anspruchsregel Geben Sie E-Mail ein.
      Attribut speichern Wählen Sie Active Directory.
      LDAP-Attribut Wählen Sie E-Mail-Adressen.
      Ausgehende Fallart Wählen Sie E-Mail Adresse.
    3. Klicken Sie auf Fertigstellen.
  3. Fügen Sie die Regel E-Mail zu NameID hinzu:
    1. Klicken Sie auf Regel hinzufügen.
    2. Konfigurieren Sie die Anspruchsregel mit den folgenden Einstellungen:

      Eigenschaft Beschreibung
      Vorlage für Anspruchsregeln Wählen Sie Transform an Incoming Claim.
      Name der Anspruchsregel Geben Sie E-Mail an NameIDein.
      Art der eingehenden Forderung Wählen Sie E-Mail Adresse.
      Ausgehende Fallart Wählen Sie Name ID.
      Ausgehender Name ID-Format Wählen Sie Transient Identifier.
      Alle Forderungen durchreichen Wählen Sie Alle Ansprüche durchgehen.
    3. Klicken Sie auf Fertigstellen.

  4. Fügen Sie die Regel Org Name hinzu:

    1. Klicken Sie auf Regel hinzufügen.
    2. Konfigurieren Sie die Anspruchsregel mit den folgenden Einstellungen:

      Eigenschaft Beschreibung
      Vorlage für Anspruchsregeln Wählen Sie Ansprüche mit einer benutzerdefinierten Regel senden.
      Name der Anspruchsregel Typ Org Name.
      Benutzerdefinierte Regel

      Geben Sie den folgenden Text ein und ersetzen SieOrgName durch den Kurznamen Ihrer Genesys Cloud-Organisation. Beim Namen der Organisation muss die Groß-/Kleinschreibung beachtet werden.  

      => issue(Type = "OrganizationName", Value = "OrgName");
    3. Klicken Sie auf Fertigstellen.
  5. Vergewissern Sie sich auf der Registerkarte Regeln für die Ausgabetransformation, dass die Regeln in der folgenden Reihenfolge angeordnet sind:
    1. E-Mail
    2. E-Mail an NameID
    3. Organisationsname

SAML-Attribute

Wenn die folgenden SAML-Attribute in der Assertion vorhanden sind, arbeitet Genesys Cloud mit diesen Attributen. Bei den Attributen wird zwischen Groß- und Kleinschreibung unterschieden. 

Attributname Attributname
Organisationsname 
  • Für vom Identitätsanbieter initiiertes Single Sign-On: Verwenden Sie die Kurzbezeichnung der Organisation.
  • Für vom Dienstanbieter initiiertes Single Sign-On: Der Name der Organisation muss mit der von Ihnen ausgewählten Organisation übereinstimmen. Anwendbar, wenn eine Organisation mehrere Genesys Cloud Organisationen unterhält, die einen einzigen Identitätsanbieter verwenden. 
email  E-Mail-Adresse des zu authentifizierenden Genesys Cloud-Benutzers.
  • Muss ein bestehender Genesys Cloud Benutzer sein.
  • Wenn der Identitätsanbieter keine E-Mail-Adresse als Betreff NameID verwendet, benötigen Sie eine gültige E-Mail-Adresse.
Dienstname 

Eine gültige URL, an die der Browser nach erfolgreicher Authentifizierung weitergeleitet werden soll, oder eines der folgenden Schlüsselwörter:

  • verzeichnis (leitet zum Genesys Cloud Collaborate-Client weiter)
  • directory-admin (leitet auf die Genesys Cloud Admin UI um)

Holen Sie sich das Zertifikat für die Genesys Cloud-Konfiguration

  1. Gehen Sie in der Konsolenstruktur zu AD FS > Service > Zertifikate.
  2. Klicken Sie mit der rechten Maustaste auf das Zertifikat unter Token-Signierung und wählen Sie Zertifikat anzeigen
  3. Klicken Sie auf die Registerkarte Details und auf In Datei kopieren
  4. Wählen Sie für das Exportdateiformat Base-64 kodiertes X.509 (.CER).
  5. Für den Dateinamen gehen Sie wie folgt vor:
    1. Klicken Sie auf Durchsuchen.
    2. Geben Sie einen Dateinamen ein.
    3. Klicken Sie auf Speichern.
  6. Klicken Sie auf Fertigstellen.

Abrufen der Metadaten für die Genesys Cloud-Konfiguration

Die Metadaten-Datei enthält den Aussteller (entityID) und die Redirect-URL für die Konfiguration von Genesys Cloud.

  1. Gehen Sie in der Konsolenstruktur zu AD FS > Service > Endpoints.
  2. Navigieren Sie zu der Datei mit dem Namen FederationMetadata.xml und laden Sie sie herunter.

Wählen Sie eine Authentifizierungsmethode:

Wählen Sie die Authentifizierungsmethoden für die Anmeldung bei Genesys Cloud im Extranet und im Intranet.

  1. Gehen Sie in der Konsolenstruktur zu AD FS > Authentifizierungsrichtlinien
  2. Klicken Sie unter Primäre Authentifizierung > Globale Einstellungen auf Bearbeiten.
  3. Überprüfen Sie unter Extranet Forms Authentication.
  4. Überprüfen Sie unter Intranet Forms Authentication und Windows Authentication
  5. Klicken Sie auf OK.

Genesys Cloud konfigurieren

  1. Klicken Sie in Genesys Cloud auf Admin.
  2. Klicken Sie unter Integrationen auf Single Sign-on.
  3. Klicken Sie auf die Registerkarte ADFS/Azure AD (Premium) .
  4. Geben Sie die von Microsoft ADFS gesammelten Metadaten des Identitätsanbieters ein.

    Feld Beschreibung
    Zertifikat

    Um X.509-Zertifikate für die SAML-Signaturvalidierung hochzuladen, führen Sie einen der folgenden Schritte aus.

    1. Um ein Zertifikat hochzuladen, klicken Sie auf Select Certificates to upload.
    2. Wählen Sie das X.509-Zertifikat aus.
    3. Klicken Sie auf . Öffnen Sie.
    4. Um ein Backup-Zertifikat zu laden, können Sie die Schritte 1-3 wiederholen.

    Oder Sie können:

    1. Ziehen Sie Ihre Zertifikatsdatei und legen Sie sie ab.
    2. Um ein Backup-Zertifikat zu laden, können Sie den ersten Schritt wiederholen.

    Hochgeladene Zertifikate werden mit ihrem Ablaufdatum angezeigt. Um ein Zertifikat zu entfernen, klicken Sie auf X.

    Hinweis: Um ein ablaufendes Zertifikat zu erneuern oder zu aktualisieren, befolgen Sie diese Anweisungen zum Hochladen von X.509-Zertifikaten und wiederholen Sie die Schritte 1–3. Sie können pro SSO-Konfiguration bis zu fünf Zertifikate in Genesys Cloud hochladen, und Genesys Cloud wählt beim einmaligen Anmelden und Abmelden das richtige Zertifikat aus.

    Emittenten-URI Geben Sie die EntityID aus der Datei FederationMetadata.xml ein.
    Ziel-URI

    Finden Sie die SingleSignOnService Tag in der Datei FederationMetadata.xml mit der Bindung gleich „urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect.“ Zum Beispiel: <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”>

    Verwenden Sie die im Attribut „Standort“ enthaltene URL. Zum Beispiel: https://your-adfs.com/adfs/ls

    Single-Logout-URI

    Suchen Sie in der Datei FederationMetadata.xml nach dem Tag „SingleLogoutService“ mit der Bindung „urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect“, zum Beispiel: <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”>

    Verwenden Sie die im Attribut „Standort“ enthaltene URL. Zum Beispiel: https://your-adfs.com/adfs/ls

    Single-Logout-Bindung Wählen Sie HTTP Redirect.
    Vertrauenswürdige Teilnehmer-ID Fügen Sie den eindeutigen Bezeichner hinzu, der beim Hinzufügen des Relying Party Trusts konfiguriert wurde. 
  5. Klicken Sie auf Speichern.