Conditions préalables:
  • Authentification unique> Fournisseur> Ajouter, supprimer, modifier, afficherautorisations
  • Admin rôle dans le compte Azure AD Premium de votre organisation
  • Les adresses email des utilisateurs sont les mêmes dans OneLogin et Genesys Cloud
  • Toute version de Microsoft Azure AD Premium qui prend en charge SAML 2.0 (différences dans la configuration, selon la version).
  • Ou un abonnement Azure AD gratuit qui prend en charge SSO

Ajoutez PureCloud en tant qu’applicationYZZY à laquelle les membres de l’organisation peuvent accéder avec les informations d’identification de leur compte Microsoft Azure AD Premium.

Remarques:
  • PureCloud ne prend pas en charge le cryptage d’assertion pour les fournisseurs d’identité authentification unique Third-participant. Le service de connexion PureCloud nécessite TLS (Transport Layer Security). Le canal étant crypté, il n’est pas nécessaire de chiffrer des parties du message.
  • Les administrateurs peuvent éventuellement désactiver la connexion par défaut PureCloud et appliquer l’authentification aide d’un fournisseur SSO uniquement. Pour plus d’informations, consultezConfigurer Genesys Cloud pour s’authentifier uniquement avec SSO.
  • Les administrateurs peuvent choisir de stocker quatre certificats supplémentaires pour assurer la continuité des activités. Si un certificat devient invalide ou expire, l'intégration est préservée si l'un des certificats supplémentaires est valide. 

  • Il y a un problème général lorsqu'un fournisseur de services (SP) reçoit une réponse SAML d'un fournisseur d'identité (IdP) et que les horloges de leurs systèmes ne sont pas synchronisées. Ce problème peut entraîner le blocage de l'accès à l'authentification unique lors de la connexion des utilisateurs. Le problème peut être causé par la longueur du décalage d'horloge entre le SP et l'IdP. Les décalages d'horloge entre Genesys Cloud et votre fournisseur d'identité ne peuvent pas être supérieurs à 10 secondes.

  • L'application de bureau Genesys Cloud ne prend pas en charge l'installation d'extensions de navigateur. Si vous avez configuré une politique d'accès conditionnel Azure qui nécessite une extension de navigateur, vous devrez utiliser un navigateur pris en charge par Genesys Cloud et sur lequel l'extension Azure AD est installée. L'authentification unique ne fonctionnera pas avec l'application de bureau dans cette configuration.

Configurer Microsoft ADFS

Vous pouvez soit configurer l'application de galerie Genesys Cloud (méthode préférée), soit créer une application Genesys Cloud personnalisée.

  1. Cliquez sur Azure Active Directory > Entreprise Applications.
  2. Cliquez sur Nouvelle application.
  3. Dans la zone de recherche, saisissez « Genesys Cloud pour Azure ».
  4. Cliquez sur l'application, ajoutez-lui un nom, puis cliquez sur Créer.

    Remarque :  Sélectionnez celui publié par Genesys Labs Inc.

  5. Cliquez sur Authentification unique.
  6. Cliquez sur SAML.
  7. Dans Basic SAML Configuration, cliquez sur Edit et entrez l'URL de connexion SAML Genesys Cloud appropriée dans le champ Reply URL, et entrez l'URL de déconnexion dans le champ Logout URL.
    le Identifiant (EntityID) peut être toute valeur unique à l’instance Azure. Le tableau affiche l'URL de réponse et l'URL de déconnexion de votre organisation Genesys Cloud, en fonction de la région AWS :
    Région AWS

    URL de réponse

    URL de déconnexion
    USA Est (N. Virginie

    https ://login.mypurecloud.jp

    https ://login.mypurecloud.jp
    USA Est 2 (Ohio)

    https://login.use2.us-gov-pure.cloud/saml

    https://login.use2.us-gov-pure.cloud/saml/logout
    Ouest des États-Unis (Oregon)

    https ://login.usw2.pure.cloud/saml 

    https ://login.usw2.pure.cloud/saml
    Canada (Canada Centre)

    https ://login.usw2.pure.cloud/saml 

    https ://login.usw2.pure.cloud/saml
    Amérique du Sud (São Paulo)

    https://login.sae1.pure.cloud/saml 

    https://login.sae1.pure.cloud/saml/logout
    UE (Francfort)

    https ://login.mypurecloud.de

    https ://login.mypurecloud.de
    EU (Irlande)

    https ://login.mypurecloud.ie 

    https ://login.mypurecloud.ie
    UE (Londres)

    https ://login.usw2.pure.cloud/saml

    https ://login.usw2.pure.cloud/saml
    Moyen-Orient (EAU)

    https://login.mec1.pure.cloud/saml

    https://login.mec1.pure.cloud/logout
    Asie-Pacifique (Mumbai)

    https ://login.usw2.pure.cloud/saml

    https ://login.usw2.pure.cloud/saml
    Asie-Pacifique (Séoul)

    https ://login.usw2.pure.cloud/saml

    https ://login.usw2.pure.cloud/saml
    Asie-Pacifique (Sydney)

    https://login.mypurecloud.com.au/saml

    https://login.mypurecloud.com.au/saml
    Asie-Pacifique (Tokyo) https ://login.mypurecloud.jp https ://login.mypurecloud.jp
  8. Dans Attributs de l’utilisateur et revendications, cliquez sur modifier et tapez ces noms attribut. Pour ajouter une revendication personnalisée, tapez le nom attribut personnalisé dans le champ Source attribut au-dessus de la liste déroulante.
    Remarque :  Les noms d’attribut sont sensibles à la casse. Tapez-les tels qu’ils apparaissent dans le tableau. N'utilisez pas d'espace de noms dans les revendications.

    Nom de l'attribut Valeur de l'attribut
    email 

    utilisateur.userprincipalname

    Remarques:

    • Pour la revendication par e-mail, créez une nouvelle revendication nommée email.

    • Fait référence à l'adresse e-mail de l'utilisateur dans Genesys Cloud. Généralement, l'adresse e-mail est user.userprincipalname, mais si l'administrateur Azure a un nom d'utilisateur principal différent (UPN) et e-mail, utilisez user.email (ou en tant qu'utilisateur.mail).

    • Les la casse doit correspondre le cas de l'adresse e-mail configurée pour cet utilisateur dans Genesys Cloud.

      Genesys Cloud change les adresses e-mail en minuscules. Si AD envoie l'e-mail avec des lettres majuscules, par exemple John.Smith@company.com, vous devez ajouter une transformation en minuscules à la revendication d'e-mail. 

      1. Dans Gérer la réclamation, sélectionnez Transformation.
      2. Dans Gérer la transformation, définissez Transformation sur ToLOWERCASE().
      3. Définissez le paramètre sur user.mail.

    • La revendication de nom doit également correspondre à la revendication d'adresse e-mail.

      Par exemple, si vous vous connectez à AD en tant que jsmith@company.com (user.userprinicpalname) mais que votre adresse e-mail réelle dans Genesys Cloud est john.smith@company.com, vous ne pouvez pas utiliser user.userprincipalname. Utilisez user.mail ou user.email, selon ce que vous avez dans votre système Azure. N'entrez pas d'informations sur l'espace de noms.
      Nom de l'organisation  Votre nom court d’organisation PureCloud
      Nom du service

      Une URL valide vers laquelle le navigateur doit être redirigé après une authentification réussie, ou l'un des mots clés suivants :

      • répertoire (redirige vers le client Genesys Cloud Collaborate )
      • directory-admin (redirige vers l’interface utilisateur Genesys Cloud Admin)
    • Dans le certificat de signature SAML, cliquez sur Certificat (Base 64) pour le télécharger.
    • En dessous de Configurer Genesys Cloud pour Azure, noter la URL de connexion, Identifiant Azure AD, et URL de déconnexion. Utilisez-les pour configurer l'URI cible et l'URI de l'émetteur dans Genesys Cloud.

    1. Cliquez sur Azure Active Directory > Entreprise Applications.
    2. Cliquez sur Nouvelle application.
    3. Dans Ajouter un application, cliquez sur application non-galerie.
    4. Dans le champ Nom, saisissez « Genesys Cloud ».
    5. Cliquez sur Authentification unique.
    6. Cliquez sur SAML.
    7. Dans Basic SAML Configuration, cliquez sur Edit et entrez l'URL de connexion SAML Genesys Cloud appropriée dans le champ Reply URL, et entrez l'URL de déconnexion dans le champ Logout URL.
      le Identifiant (EntityID) peut être toute valeur unique à l’instance Azure. Le tableau affiche l'URL de réponse et l'URL de déconnexion de votre organisation Genesys Cloud, en fonction de la région AWS :
      Région AWS

      URL de réponse

      URL de déconnexion
      USA Est (N. Virginie

      https ://login.mypurecloud.jp

      https ://login.mypurecloud.jp
      USA Est 2 (Ohio)

      https://login.use2.us-gov-pure.cloud/saml

      https://login.use2.us-gov-pure.cloud/saml/logout
      Ouest des États-Unis (Oregon)

      https ://login.usw2.pure.cloud/saml 

      https ://login.usw2.pure.cloud/saml
      Canada (Canada Centre)

      https ://login.usw2.pure.cloud/saml 

      https ://login.usw2.pure.cloud/saml
      Amérique du Sud (São Paulo)

      https://login.sae1.pure.cloud/saml 

      https://login.sae1.pure.cloud/saml/logout
      UE (Francfort)

      https ://login.mypurecloud.de

      https ://login.mypurecloud.de
      EU (Irlande)

      https ://login.mypurecloud.ie 

      https ://login.mypurecloud.ie
      UE (Londres)

      https ://login.usw2.pure.cloud/saml

      https ://login.usw2.pure.cloud/saml
      Asie-Pacifique (Mumbai)

      https ://login.usw2.pure.cloud/saml

      https ://login.usw2.pure.cloud/saml
      Asie-Pacifique (Séoul)

      https ://login.usw2.pure.cloud/saml

      https ://login.usw2.pure.cloud/saml
      Asie-Pacifique (Sydney)

      https://login.mypurecloud.com.au/saml

      https://login.mypurecloud.com.au/saml
      Asie-Pacifique (Tokyo) https ://login.mypurecloud.jp https ://login.mypurecloud.jp
    8. Dans Attributs de l’utilisateur et revendications, cliquez sur modifier et tapez ces noms attribut. Pour ajouter une revendication personnalisée, tapez le nom attribut personnalisé dans le champ Source attribut au-dessus de la liste déroulante.
      Remarque :  Les noms d’attribut sont sensibles à la casse. Tapez-les tels qu’ils apparaissent dans le tableau. N'utilisez pas d'espace de noms dans les revendications.

      Nom de l'attribut Valeur de l'attribut
      email 

      utilisateur.userprincipalname

      Remarques:

      • Fait référence à l'adresse e-mail de l'utilisateur dans Genesys Cloud. Généralement, l'adresse e-mail est user.userprincipalname, mais si l'administrateur Azure a un nom d'utilisateur principal différent (UPN) et e-mail, utilisez user.email.

        Par exemple, si vous vous connectez à AD en tant que jsmith@company.com (user.userprinicpalname) mais que votre adresse e-mail réelle est john.smith@company.com, utilisez user.mail ou user.email, selon ce que vous avez dans votre Système azur. N'entrez pas d'informations sur l'espace de noms.

      • La casse doit correspondre à la casse de l'adresse e-mail configurée pour cet utilisateur dans Genesys Cloud. Genesys Cloud met les e-mails par défaut en minuscules.

        Si AD envoie l'e-mail avec des lettres majuscules, par exemple John.Smith@company.com, vous devez ajouter une transformation en minuscules à la revendication d'e-mail. 
      Nom de l'organisation  Votre nom court d’organisation PureCloud
      Nom du service

      (Facultatif) Une URL valide vers laquelle le navigateur sera redirigé après une authentification réussie, ou l'un des mots clés suivants :

      • répertoire (redirige vers le client Genesys Cloud Collaborate )
      • directory-admin (redirige vers l’interface utilisateur Genesys Cloud Admin)
    9. Dans le certificat de signature SAML, cliquez sur Certificat (Base 64) pour le télécharger.
    10. En dessous de Configurer Genesys Cloud pour Azure, noter la URL de connexion, Identifiant Azure AD, et URL de déconnexion. Utilisez-les pour configurer l'URI cible et l'URI de l'émetteur dans Genesys Cloud.

    Attribuer des utilisateurs et des groupes à PureCloud application

    Après avoir configuré l'application de galerie Genesys Cloud ou une application Genesys Cloud personnalisée, attribuez les utilisateurs et les groupes qui se connecteront à Genesys Cloud en utilisant Azure AD comme fournisseur d'identité.

    1. Dans la personnalisation application de PureCloud, cliquez sur Utilisateurs et groupes.
    2. Cliquez sur Ajouter utilisateur.
    3. Cliquez sur les utilisateurs et les groupes appropriés.
    4. Cliquez sur Attribuer.

    Configurer Genesys Cloud

    La configuration de Genesys Cloud s'applique à la fois à l'application de galerie Genesys Cloud et à une application Genesys Cloud personnalisée.

    1. Dans Genesys Cloud, cliquez surAdministrateur.
    2. Sous Intégrations, cliquez sur Authentification unique.
    3. Cliquez sur l'onglet ADFS / Azure AD (Premium) .

    4. Entrez les métadonnées du fournisseur d’identité collectées à partir d’Azure AD.

      Champ Description
      Certificat

      Pour télécharger des certificats X.509 pour la validation de la signature SAML, effectuez l'une des opérations suivantes.

      1. Pour télécharger un certificat, cliquez sur Sélectionnez les certificats à télécharger.
      2. Sélectionnez le certificat X.509.
      3. Cliquez sur Ouvert.
      4. Facultativement, pour charger un certificat de sauvegarde, répétez les étapes 1 à 3.

      Ou vous pouvez :

      1. Faites glisser et déposez votre fichier de certificat.
      2. Si vous souhaitez charger un certificat de sauvegarde, répétez la première étape.

      Les certificats téléchargés apparaissent avec leur date d'expiration. Pour supprimer un certificat, cliquez sur X.

      Remarque :  Pour renouveler ou mettre à jour un certificat arrivant à expiration, suivez ces instructions pour télécharger des certificats X.509, en répétant les étapes 1 à 3. Vous pouvez télécharger jusqu'à cinq certificats dans Genesys Cloud par configuration SSO, et Genesys Cloud choisit le certificat correct lors de l'authentification unique et de la déconnexion.

      URI de l'émetteur

      Tapez le ID d’entité SAML à partir de Azure AD PureCloud personnalisé application.

      Remarque :  L'URI de l'émetteur est une URL, pas seulement l'ID. L'URL doit être au format « https://sts.windows.net/1234abcd5678efgh », où le GUID est l'ID d'entité d'Azure.
      URI cible Tapez le ID d’entité SAML à partir de Azure AD PureCloud personnalisé application. 
      URI de déconnexion unique Tapez le ID d’entité SAML à partir de Azure AD PureCloud personnalisé application.
      Liaison de déconnexion unique Choisissez Redirection HTTP.
      Identifiant du participant de confiance

      Tapez le ID d’entité SAML à partir de Azure AD PureCloud personnalisé application.


      Remarque :  La ressource SAML est la ressource par défaut pour l'application dans Azure AD. Nous recommandons d'utiliser la ressource SAML comme identifiant d'entité, car elle est unique et facilement disponible. Si vous exécutez plusieurs instances de l'intégration SSO sur votre instance Azure AD, vous pouvez utiliser un identifiant unique tant que la configuration IDP dans Genesys Cloud a le même identifiant dans le champ Relying Party Identifier. Genesys Cloud utilise cette valeur pour s'identifier auprès de l'IDP.
    5. Cliquez sur Sauvegarder. 

    Tester l'application Azure AD Genesys Cloud

    Le test de l'application cloud Azure AD Genesys s'applique à la fois à l'application de galerie Genesys Cloud et à l'application Genesys Cloud personnalisée.

    • Dans la vue détaillée de la authentification unique dans Microsoft Azure AD, cliquez sur Testez cette application.