Ajouter Microsoft ADFS en tant que fournisseur authentification unique

Conditions préalables:
  • Authentification unique> Fournisseur> Ajouter, supprimer, modifier, afficherautorisations
  • Admin rôle dans le compte ADFS de votre organisation
  • Les adresses électroniques des utilisateurs sont les mêmes dans ADFS et PureCloud
  • Toute version de Microsoft ADFS prenant en charge SAML 2.0. Il y a quelques différences dans la configuration, selon la version.

Ajoutez PureCloud en tant qu’application à laquelle les membres de l’organisation peuvent accéder avec les informations d’identification de leur compte Microsoft ADFS.

Remarques:
  • PureCloud ne prend pas en charge le cryptage d’assertion pour les fournisseurs d’identité authentification unique Third-participant. Le service de connexion PureCloud nécessite TLS (Transport Layer Security). Le canal étant crypté, il n’est pas nécessaire de chiffrer des parties du message.
  • Les administrateurs peuvent éventuellement désactiver la connexion par défaut PureCloud et appliquer l’authentification aide d’un fournisseur SSO uniquement. Pour plus d’informations, consultezConfigurer Genesys Cloud pour s’authentifier uniquement avec SSO.
  • Les administrateurs peuvent choisir de stocker quatre certificats supplémentaires pour assurer la continuité des activités. Si un certificat devient invalide ou expire, l'intégration est préservée si l'un des certificats supplémentaires est valide. 
  • Il y a un problème général lorsqu'un fournisseur de services (SP) reçoit une réponse SAML d'un fournisseur d'identité (IdP) et que les horloges de leurs systèmes ne sont pas synchronisées. Ce problème peut entraîner le blocage de l'accès à l'authentification unique lors de la connexion des utilisateurs. Le problème peut être causé par la longueur du décalage d'horloge entre le SP et l'IdP. Les décalages d'horloge entre Genesys Cloud et votre fournisseur d'identité ne peuvent pas être supérieurs à 10 secondes.

  • L'application de bureau Genesys Cloud ne prend pas en charge l'installation d'extensions de navigateur. Si vous avez configuré une politique d'accès conditionnel Azure qui nécessite une extension de navigateur, vous devrez utiliser un navigateur compatible avec Genesys Cloud dans lequel l'extension Microsoft Entra ID est installée. L'authentification unique ne fonctionnera pas avec l'application de bureau dans cette configuration.

Configurer Microsoft ADFS

Obtenir le certificat pour la configuration PureCloud

  1. Dans Genesys Cloud, cliquez surAdministrateur.
  2. Sous Intégrations, cliquez sur Authentification unique.
  3. Cliquez sur l'onglet ADFS / Azure AD (Premium) .
  4. Sous Genesys Cloud Signing Certificate, cliquez sur Download Certificate.
  5. Enregistrez le fichier.

Ajouter une confiance Participant Relying

  1. Aller à Outils administratifs > AD FS
  2. Dans l’arbre console, accédez à AD FS> Relations de confiance> Faire confiance aux fiducies Participant.
  3. Pour ouvrir l'assistant, cliquez sur Add Relying Party Trust.
  4. Sur la page Sélectionner la source de données, cliquez sur . Saisissez manuellement les données concernant le répondant.
  5. Sur la page Spécifier le nom d'affichage, saisissez un nom pour la partie qui répond (c'est-à-dire Genesys Cloud).
  6. Sur la page Choisir un profil, cliquez sur AD FS profile pour sélectionner SAML.
  7. Passez la page Configurer le certificat.
  8. Dans la page Configurer l'URL, effectuez les étapes suivantes :
    1. Cliquez sur Activer la prise en charge du protocole SAML 2.0 WebSSO.
    2. Dans le champ situé sous la case à cocher, saisissez l'URL suivante de votre organisation Genesys Cloud basée sur la région AWS.

      Région AWS

      URL

      USA Est (N. Virginie

      https://login.mypurecloud.com/saml

      USA Est 2 (Ohio) https://login.use2.us-gov-pure.cloud/saml
      Ouest des États-Unis (Oregon)

      https://login.usw2.pure.cloud/saml 

      Canada (Canada Centre)

      https://login.cac1.pure.cloud/saml

      Amérique du Sud (São Paulo)

      https://login.sae1.pure.cloud/saml

      EMEA (Francfort)

      https://login.mypurecloud.de/saml

      EMEA (Irlande)

      https://login.mypurecloud.ie/saml 

      EMEA (Londres)

      https://login.euw2.pure.cloud/saml

      EMEA (EAU)

      https://login.mec1.pure.cloud/saml

      EMEA (Zurich)

      https://login.euc2.pure.cloud/saml

      Asie-Pacifique (Mumbai)

      https://login.aps1.pure.cloud/saml

      Asie-Pacifique (Séoul)

      https://login.apne2.pure.cloud/saml 

      Asie-Pacifique (Sydney)

      https://login.mypurecloud.com.au/saml

      Asie-Pacifique (Tokyo)

      https://login.mypurecloud.jp/saml

      Asie-Pacifique (Osaka) https://login.apne3.pure.cloud/saml
  9. Dans la page Configurer les identifiants, saisissez une valeur pour l'identifiant de confiance de la partie utilisatrice. La valeur peut être toute chaîne unique que vous souhaitez utiliser pour identifier la confiance participant de confiance. Lorsqu'une partie dépendante est identifiée dans une demande adressée au service de la Fédération, AD FS utilise une logique de correspondance de préfixe pour déterminer la confiance de la partie correspondante dans la base de données de configuration d'AD FS.
  10. Sur la page Configurer l'authentification multifactorielle maintenant, choisissez de configurer ou non l'AMF.
    Remarque : Ce document ne couvre pas la procédure de configuration de MFA.
  11. Laissez tous les autres paramètres à leurs valeurs par défaut et cliquez sur Fermer.
  12. Sur la page Faire confiance à Participant Trusts, cliquez avec le bouton droit sur l’approbation créée lors de la procédure précédente, puis sélectionnez Modifier les règles de revendication.
  13. Dans l'onglet Endpoints , cliquez sur Add SAML
  14. Pour Endpoint Type, choisissez SAML Logout.
    Région AWS URL
    USA Est (N. Virginie https://login.mypurecloud.com/saml/logout
    USA Est 2 (Ohio) https://login.use2.us-gov-pure.cloud/saml/logout
    Ouest des États-Unis (Oregon) https://login.usw2.pure.cloud/saml/logout 
    Canada (Canada Centre) https://login.cac1.pure.cloud/saml/logout 
    Amérique du Sud (São Paulo) https://login.sae1.pure.cloud/saml/logout 
    EMEA (Francfort) https://login.mypurecloud.de/saml/logout
    EMEA (Irlande) https://login.mypurecloud.ie/saml/logout 
    EMEA (Londres) https://login.euw2.pure.cloud/saml/logout
    EMEA (EAU) https://login.mec1.pure.cloud/saml/logout
     EMEA (Zurich) https://login.euc2.pure.cloud/saml/logout
    Asie-Pacifique (Mumbai) https://login.aps1.pure.cloud/saml/logout
    Asie-Pacifique (Séoul) https://login.apne2.pure.cloud/saml/logout 
    Asie-Pacifique (Sydney) https://login.mypurecloud.com.au/saml/logout
    Asie-Pacifique (Tokyo) https://login.mypurecloud.jp/saml/logout
    Asie-Pacifique (Osaka) https://login.apne3.pure.cloud/saml/logout
  15. Cliquez sur D’accord.
  16. Dans l'onglet Signature , cliquez sur Ajouter
  17. Choisissez le certificat enregistré à l'étape 5 de "Obtenir le certificat pour la configuration de l'ADFS" et cliquez sur Ouvrir.
  18. Cliquez sur D’accord.

Ajouter les règles de réclamation

Ajoutez trois règles de réclamation : Email, Email à et Nom de l'organisation.

  1. Sur la page Faire confiance à Participant Trusts, cliquez avec le bouton droit sur l’approbation créée lors de la procédure précédente, puis sélectionnez Modifier les règles de revendication.
  2. Ajoutez la règle Email:
    1. Cliquez sur Ajouter une règle
    2. Configurez la règle de revendication avec les paramètres suivants:

      Propriété Description
      Modèle de règle de réclamation Sélectionner Envoi d'attributs LDAP en tant que revendications.
      Nom de la règle de revendication Type Email.
      Magasin d'attributs Sélectionner Active Directory.
      Attribut LDAP Sélectionner Adresses mail.
      Type de réclamation sortant Sélectionner Adresse électronique.
    3. Cliquez sur Terminer. 
  3. Ajouter l'email à règle:
    1. Cliquez sur Ajouter une règle.
    2. Configurez la règle de revendication avec les paramètres suivants:

      Propriété Description
      Modèle de règle de réclamation Sélectionner Transformer une revendication entrante.
      Nom de la règle de revendication Taper E-mail à NameID.
      Type de réclamation entrant Sélectionner Adresse électronique.
      Type de réclamation sortant Sélectionner Nom ID.
      Format d'identifiant de nom sortant Sélectionner Identifiant transitoire.
      Passer à travers toutes les réclamations Sélectionner Passer à travers toutes les réclamations.
    3. Cliquez sur Terminer. 

  4. Ajoutez la règle Nom de l'organisation:

    1. Cliquez sur Ajouter une règle.
    2. Configurez la règle de revendication avec les paramètres suivants:

      Propriété Description
      Modèle de règle de réclamation Sélectionner Envoyer des revendications à l'aide d'une règle personnalisée.
      Nom de la règle de revendication Type Nom de l'organisation.
      Règle personnalisée

      Saisissez le texte suivant et remplacez OrgName par le nom court de votre organisation Genesys Cloud. Le nom de l'organisation est sensible à la casse.  

      => issue(Type = "OrganizationName", Value = "OrgName");
    3. Cliquez sur Terminer. 
  5. Dans l'onglet Issuance Transform Rules, assurez-vous que les règles sont dans l'ordre suivant :
    1. E-mail
    2. E-mail à NameID
    3. Nom de l'organisation

Attributs SAML

Si les attributs SAML suivants sont présents dans l'assertion, Genesys Cloud agit sur ces attributs. Les deux attributs sont sensibles à la casse. 

Nom de l'attribut Valeur de l'attribut
Nom de l'organisation 
  • Pour l'authentification unique initiée par le fournisseur d'identité : Entrez le nom de l'organisation.
  • Pour l'authentification unique initiée par le fournisseur de services : Le nom de l'organisation doit correspondre à l'organisation que vous sélectionnez. Applicable lorsqu’une organisation gère plusieurs organisations Genesys Cloud aide d’un seul fournisseur d’identité. 
email  Adresse email de l’utilisateur Genesys Cloud à authentifier.
  • Doit être un utilisateur Genesys Cloud existant.
  • Si le fournisseur d'identité n'utilise pas d'adresse e-mail comme objet NameID, vous avez besoin d'une adresse e-mail valide.
Nom du service 

Une URL valide vers laquelle le navigateur doit être redirigé après une authentification réussie, ou l'un des mots clés suivants :

  • répertoire (redirige vers le client Genesys Cloud Collaborate )
  • directory-admin (redirige vers l’interface utilisateur Genesys Cloud Admin)

Obtenir le certificat pour la configuration PureCloud

  1. Dans l'arborescence de la console, accédez à AD FS> Un service > Certificats.
  2. Cliquez avec le bouton droit sur le certificat sous Signature de jeton et sélectionnez Voir le certificat.
  3. Cliquez sur l'onglet Détails puis sur Copier dans un fichier.
  4. Pour le format de fichier d'exportation, sélectionnez X.509 codé en base 64 (.CER).
  5. Pour le nom de fichier, procédez comme suit:
    1. Cliquez sur Feuilleter.
    2. Tapez un nom de fichier.
    3. Cliquez sur Sauvegarder. 
  6. Cliquez sur Terminer. 

Obtenez les métadonnées pour la configuration Genesys Cloud

Le fichier de métadonnées contient l’émetteur () et l'URL de redirection pour la configuration de PureCloud.

  1. Dans l'arborescence de la console, accédez à AD FS>  Un service > Points de terminaison.
  2. Naviguez vers et téléchargez le fichier appelé FederationMetadata.xml.

Sélectionnez les méthodes d'authentification

Sélectionnez les méthodes d'authentification pour vous connecter à PureCloud sur l'extranet et l'intranet.

  1. Dans l'arborescence de la console, accédez à AD FS> Règles d'authentification.
  2. Sous Authentification principale> Paramètres généraux, cliquez sur Modifier.
  3. Sous Extranet, cochez Authentification par formulaire.
  4. Sous Intranet, cochez Authentification par formulaire et Authentification Windows.
  5. Cliquez sur D’accord.

Configurer Genesys Cloud

  1. Dans Genesys Cloud, cliquez surAdministrateur.
  2. Sous Intégrations, cliquez sur Authentification unique.
  3. Cliquez sur l'onglet ADFS / Azure AD (Premium) .
  4. Entrez les métadonnées du fournisseur d'identité recueillies à partir de Microsoft ADFS.

    Champ Description
    Certificat

    Pour télécharger des certificats X.509 pour la validation de la signature SAML, effectuez l'une des opérations suivantes.

    1. Pour télécharger un certificat, cliquez sur Sélectionnez les certificats à télécharger.
    2. Sélectionnez le certificat X.509.
    3. Cliquez sur Ouvert.
    4. Facultativement, pour charger un certificat de sauvegarde, répétez les étapes 1 à 3.

    Ou vous pouvez :

    1. Faites glisser et déposez votre fichier de certificat.
    2. Si vous souhaitez charger un certificat de sauvegarde, répétez la première étape.

    Les certificats téléchargés apparaissent avec leur date d'expiration. Pour supprimer un certificat, cliquez sur X.

    Remarque :  Pour renouveler ou mettre à jour un certificat arrivant à expiration, suivez ces instructions pour télécharger des certificats X.509, en répétant les étapes 1 à 3. Vous pouvez télécharger jusqu'à cinq certificats dans Genesys Cloud par configuration SSO, et Genesys Cloud choisit le certificat correct lors de l'authentification unique et de la déconnexion.

    URI de l'émetteur Entrez l'entité ID du fichier FederationMetadata.xml.
    URI cible

    Trouver la balise SingleSignOnService dans le fichier FederationMetadata.xml avec Binding égal à "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect". Par exemple : <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”>

    Utiliser l'URL contenue dans l'attribut "Location". Par exemple : https://your-adfs.com/adfs/ls

    URI de déconnexion unique

    Trouvez la balise SingleLogoutService dans le fichier FederationMetadata.xml avec Binding égal à "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect", par exemple : <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”>

    Utiliser l'URL contenue dans l'attribut "Location". Par exemple : https://your-adfs.com/adfs/ls

    Liaison de déconnexion unique Sélectionnez Redirection HTTP.
    Identifiant du participant de confiance Ajoutez l’identifiant unique configuré lors de l’ajout de la confiance Participant. 
  5. Cliquez sur Sauvegarder.