Conditions préalables:
  • Authentification unique> Fournisseur> Ajouter, supprimer, modifier, afficherautorisations
  • rôle administrateur dans le compte fournisseur d’identité de votre organisation
  • Les adresses email des utilisateurs sont les mêmes dans le compte du fournisseur d’identité de votre organisation et dans Genesys Cloud

La configuration générique du fournisseur d’identité permet PureCloud clients PureCloud de s’intégrer à la plupart des fournisseurs d’identité qui prennent en charge SAML 2.0. 

Remarques:
  • PureCloud ne prend pas en charge le cryptage d’assertion pour les fournisseurs d’identité authentification unique Third-participant. Le service de connexion PureCloud nécessite TLS (Transport Layer Security). Le canal étant crypté, il n’est pas nécessaire de chiffrer des parties du message.
  • Les administrateurs peuvent éventuellement désactiver la connexion par défaut PureCloud et appliquer l’authentification aide d’un fournisseur SSO uniquement. Pour plus d’informations, consultezConfigurer Genesys Cloud pour s’authentifier uniquement avec SSO.
  • Les administrateurs peuvent choisir de stocker quatre certificats supplémentaires pour assurer la continuité des activités. Si un certificat devient invalide ou expire, l'intégration est préservée si l'un des certificats supplémentaires est valide. 

  • Il y a un problème général lorsqu'un fournisseur de services (SP) reçoit une réponse SAML d'un fournisseur d'identité (IdP) et que les horloges de leurs systèmes ne sont pas synchronisées. Ce problème peut entraîner le blocage de l'accès à l'authentification unique lors de la connexion des utilisateurs. Le problème peut être causé par la longueur du décalage d'horloge entre le SP et l'IdP. Les décalages d'horloge entre Genesys Cloud et votre fournisseur d'identité ne peuvent pas être supérieurs à 10 secondes.

  • L'application de bureau Genesys Cloud ne prend pas en charge l'installation d'extensions de navigateur. Si vous avez configuré une politique d'accès conditionnel Azure qui nécessite une extension de navigateur, vous devrez utiliser un navigateur pris en charge par Genesys Cloud et sur lequel l'extension Azure AD est installée. L'authentification unique ne fonctionnera pas avec l'application de bureau dans cette configuration.

Configurer le fournisseur d’identité de votre organisation

Obtenir le certificat pour la configuration PureCloud

Recherchez et téléchargez le certificat public codé de votre fournisseur d’identité pour la validation de la signature SAML.

Noter: Genesys Cloud accepte les certificats encodés PEM et DER, ainsi que les certificats encodés Base64.

Obtenez les métadonnées pour la configuration Genesys Cloud

Recherchez et téléchargez le fichier de métadonnées de votre fournisseur d'identité contenant l'émetteur (entityID), l'URL d'authentification unique et l'URL de déconnexion unique pour configurer Genesys Cloud dans le compte du fournisseur d'identité de votre organisation.

Fournissez l’URL du service consommateur d’assertion (ACS)

Lorsque vous êtes invité à entrer l’URL du service consommateur d’assertion (ACS), sélectionnez l’URL appropriée en fonction de votre région de déploiement AWS.

Région AWS

URL
USA Est (N. Virginie

https ://login.mypurecloud.jp
USA Est 2 (Ohio)

https://login.use2.us-gov-pure.cloud/saml
Ouest des États-Unis (Oregon)

https ://login.usw2.pure.cloud/saml 
Canada (Canada Centre)

https ://login.usw2.pure.cloud/saml 
Amérique du Sud (São Paulo)

https://login.sae1.pure.cloud/saml 
UE (Francfort)

https ://login.mypurecloud.de
EU (Irlande)

https ://login.mypurecloud.ie 
UE (Londres)

https ://login.usw2.pure.cloud/saml
Asie-Pacifique (Mumbai)

https ://login.usw2.pure.cloud/saml
Asie-Pacifique (Séoul)

https ://login.usw2.pure.cloud/saml
Asie-Pacifique (Sydney)

https://login.mypurecloud.com.au/saml
Asie-Pacifique (Tokyo)

https ://login.mypurecloud.jp

Fournir l'URL de déconnexion unique

Lorsque vous êtes invité à entrer l’URL du service consommateur d’assertion (ACS), sélectionnez l’URL appropriée en fonction de votre région de déploiement AWS.

Région AWS

URL
USA Est (N. Virginie

https ://login.mypurecloud.jp
USA Est 2 (Ohio)

https://login.use2.us-gov-pure.cloud/saml/logout
Ouest des États-Unis (Oregon)

https ://login.usw2.pure.cloud/saml 
Canada (Canada Centre)

https ://login.usw2.pure.cloud/saml 
Amérique du Sud (São Paulo)

https://login.sae1.pure.cloud/saml/logout 
UE (Francfort)

https ://login.mypurecloud.de
EU (Irlande)

https ://login.mypurecloud.ie 
UE (Londres)

https ://login.usw2.pure.cloud/saml
Asie-Pacifique (Mumbai)

https ://login.usw2.pure.cloud/saml
Asie-Pacifique (Séoul)

https ://login.usw2.pure.cloud/saml
Asie-Pacifique (Sydney)

https://login.mypurecloud.com.au/saml
Asie-Pacifique (Tokyo)

https ://login.mypurecloud.jp

Fournir l'ID de l'entité du fournisseur de services

Lorsque vous êtes invité à saisir l'ID de l'entité du fournisseur de services, la valeur peut être toute chaîne unique que vous souhaitez utiliser pour identifier votre organisation Genesys Cloud. Ce champ est aussi parfois appelé URI de l'émetteur ou de l'audience.

Fournir le Genesys Cloud Signing Certificate

Lorsque vous êtes invité à entrer un certificat de signature, téléchargez le fichier obtenu à partir de Genesys cloud.

  1. Dans Genesys Cloud, cliquez surAdministrateur.
  2. Sous Intégrations, cliquez sur Authentification unique.
  3. Cliquez sur l'onglet Okta.
  4. Sous Genesys Cloud Signing Certificate, cliquez sur Download Certificate.
  5. Enregistrez le fichier.

Configurer les attributs utilisateur et les revendications

Configurez ces attributs utilisateur Genesys Cloud pour votre fournisseur d’identité. Les deux attributs sont sensibles à la casse. 

Nom de l'attribut Valeur de l'attribut
Nom de l'organisation 
  • Pour l'authentification unique initiée par le fournisseur d'identité : Entrez le nom de l'organisation.
  • Pour l'authentification unique initiée par le fournisseur de services : Assurez-vous que le nom de l'organisation correspond au nom de l'organisation que vous sélectionnez. Applicable lorsqu’une organisation gère plusieurs organisations Genesys Cloud aide d’un seul fournisseur d’identité. 
email  Adresse email de l’utilisateur Genesys Cloud à authentifier.
  • Doit être un utilisateur Genesys Cloud existant.
  • Si le fournisseur d'identité n'utilise pas d'adresse e-mail comme objet NameID, vous avez besoin d'une adresse e-mail valide.
Nom du service 

Une URL valide vers laquelle le navigateur doit être redirigé après une authentification réussie, ou l'un des mots clés suivants :

  • répertoire (redirige vers le client Genesys Cloud Collaborate )
  • directory-admin (redirige vers l’interface utilisateur Genesys Cloud Admin)
Noter: Pour ajouter une revendication personnalisée, consultez la documentation de votre fournisseur d'identité.

Configurer Genesys Cloud

  1. Dans Genesys Cloud, cliquez surAdministrateur.
  2. Sous Intégrations, cliquez sur Authentification unique.
  3. Cliquez sur l'onglet Fournisseur SSO générique .

  4. Entrez les métadonnées recueillies auprès du fournisseur d’identité de votre organisation.

    Champ Description
    Logo du fournisseur Insérez une image SVG, ne dépassant pas 25 Ko.
    Nom du fournisseur Saisissez le nom du fournisseur d’identité.
    Le certificat du fournisseur

    Pour télécharger des certificats X.509 pour la validation de la signature SAML, effectuez l'une des opérations suivantes.

    1. Pour télécharger un certificat, cliquez sur Sélectionnez les certificats à télécharger.
    2. Sélectionnez le certificat X.509.
    3. Cliquez sur Ouvert.
    4. Facultativement, pour charger un certificat de sauvegarde, répétez les étapes 1 à 3.

    Ou vous pouvez :

    1. Faites glisser et déposez votre fichier de certificat.
    2. Si vous souhaitez charger un certificat de sauvegarde, répétez la première étape.

    Les certificats téléchargés apparaissent avec leur date d'expiration. Pour supprimer un certificat, cliquez sur X.

    Remarque :  Pour renouveler ou mettre à jour un certificat arrivant à expiration, suivez ces instructions pour télécharger des certificats X.509, en répétant les étapes 1 à 3. Vous pouvez télécharger jusqu'à cinq certificats dans Genesys Cloud par configuration SSO, et Genesys Cloud choisit le certificat correct lors de l'authentification unique et de la déconnexion.

    URI de l’émetteur du fournisseur Entrer le fournis dans le fichier de métadonnées du fournisseur d’identité.
    URL cible Entrez l’URL de redirection fournie dans le fichier de métadonnées du fournisseur d’identité.
    URI de déconnexion unique Entrez l’URL de redirection fournie dans le fichier de métadonnées du fournisseur d’identité.
    Liaison de déconnexion unique Choisissez la même liaison que celle sélectionnée dans le fournisseur d'identité. Si une liaison n'a pas été spécifiée, choisissez HTTP Redirect.
    Identifiant du participant de confiance Saisissez la chaîne à utiliser pour identifier Genesys Cloud auprès du fournisseur d’identité. 
    Remarque :  Si les fournisseurs d'identité s'attendent à ce que le fournisseur de services spécifie l'identifiant de la partie de confiance, saisissez une chaîne pour saisir à la fois Genesys Cloud et le fournisseur d'identité. D’autres fournisseurs d’identité génèrent un identifiant de participant fiable dans leur fichier de métadonnées.
    Format d'identifiant de nom Choisissez le format d'identifiant de nom que votre fournisseur d'identité prend en charge. Si votre fournisseur prend en charge Email Adresse, c'est le format à privilégier. Si aucun format d'identifiant de nom n'est connu, choisissez Unspecified
  5. (Facultatif) Sélectionnez Compression de point final pour compresser la demande d’authentification Genesys Cloud. Cette option doit être sélectionnée et seulement décochée si le fournisseur d'identité ne prend pas en charge la compression pour la liaison de redirection HTTP.
  6. Cliquez sur Sauvegarder.