Ajouter Microsoft Entra ID en tant que fournisseur d'authentification unique

Conditions préalables:
  • Authentification unique> Fournisseur> Ajouter, supprimer, modifier, afficherautorisations
  • Rôle d'administrateur dans le compte Microsoft Entra ID Premium ou Free de votre organisation
  • Les adresses électroniques des utilisateurs sont les mêmes sur Entra ID et Genesys Cloud.
  • Toute version de Microsoft Entra ID Premium qui supporte SAML 2.0 (différences dans la configuration, selon la version).
  • Ou un abonnement gratuit à Microsoft Entra ID qui prend en charge le SSO

Ajouter Genesys Cloud comme une application à laquelle les membres de l'organisation peuvent accéder avec les identifiants de leur compte Microsoft Entra ID Premium ou Free Microsoft Entra ID.

Remarques:
  • PureCloud ne prend pas en charge le cryptage d’assertion pour les fournisseurs d’identité authentification unique Third-participant. Le service de connexion PureCloud nécessite TLS (Transport Layer Security). Le canal étant crypté, il n’est pas nécessaire de chiffrer des parties du message.
  • Les administrateurs peuvent éventuellement désactiver la connexion par défaut PureCloud et appliquer l’authentification aide d’un fournisseur SSO uniquement. Pour plus d’informations, consultezConfigurer Genesys Cloud pour s’authentifier uniquement avec SSO.
  • Les administrateurs peuvent choisir de stocker quatre certificats supplémentaires pour assurer la continuité des activités. Si un certificat devient invalide ou expire, l'intégration est préservée si l'un des certificats supplémentaires est valide. 

  • Il y a un problème général lorsqu'un fournisseur de services (SP) reçoit une réponse SAML d'un fournisseur d'identité (IdP) et que les horloges de leurs systèmes ne sont pas synchronisées. Ce problème peut entraîner le blocage de l'accès à l'authentification unique lors de la connexion des utilisateurs. Le problème peut être causé par la longueur du décalage d'horloge entre le SP et l'IdP. Les décalages d'horloge entre Genesys Cloud et votre fournisseur d'identité ne peuvent pas être supérieurs à 10 secondes.

  • L'application de bureau Genesys Cloud ne prend pas en charge l'installation d'extensions de navigateur. Si vous avez configuré une politique d'accès conditionnel Azure qui nécessite une extension de navigateur, vous devrez utiliser un navigateur compatible avec Genesys Cloud dans lequel l'extension Microsoft Entra ID est installée. L'authentification unique ne fonctionnera pas avec l'application de bureau dans cette configuration.

Configuration de Microsoft Entra ID

Vous pouvez soit configurer l'application de galerie Genesys Cloud (méthode préférée), soit créer une application Genesys Cloud personnalisée.

  1. Cliquez sur Microsoft Entra ID > Enterprise Applications.
  2. Cliquez sur Nouvelle application.
  3. Dans la zone de recherche, saisissez « Genesys Cloud pour Azure ».
  4. Cliquez sur l'application, ajoutez-lui un nom, puis cliquez sur Créer.

    Remarque :  Sélectionnez celui publié par Genesys Labs Inc.

  5. Cliquez sur Authentification unique.
  6. Cliquez sur SAML.
  7. Dans Basic SAML Configuration, cliquez sur Edit et entrez l'URL de connexion SAML Genesys Cloud appropriée dans le champ Reply URL, et entrez l'URL de déconnexion dans le champ Logout URL.
    le Identifiant (EntityID) peut être toute valeur unique à l’instance Azure. Le tableau affiche l'URL de réponse et l'URL de déconnexion de votre organisation Genesys Cloud, en fonction de la région AWS :
    Région AWS

    URL de réponse

    URL de déconnexion
    USA Est (N. Virginie

    https ://login.mypurecloud.jp

    https ://login.mypurecloud.jp
    USA Est 2 (Ohio)

    https://login.use2.us-gov-pure.cloud/saml

    https://login.use2.us-gov-pure.cloud/saml/logout
    Ouest des États-Unis (Oregon)

    https ://login.usw2.pure.cloud/saml 

    https ://login.usw2.pure.cloud/saml
    Canada (Canada Centre)

    https ://login.usw2.pure.cloud/saml 

    https ://login.usw2.pure.cloud/saml
    Amérique du Sud (São Paulo)

    https://login.sae1.pure.cloud/saml 

    https://login.sae1.pure.cloud/saml/logout
    UE (Francfort)

    https ://login.mypurecloud.de

    https ://login.mypurecloud.de
    EU (Irlande)

    https ://login.mypurecloud.ie 

    https ://login.mypurecloud.ie
    UE (Londres)

    https ://login.usw2.pure.cloud/saml

    https ://login.usw2.pure.cloud/saml
    Moyen-Orient (EAU)

    https://login.mec1.pure.cloud/saml

    https://login.mec1.pure.cloud/logout
    Asie-Pacifique (Mumbai)

    https ://login.usw2.pure.cloud/saml

    https ://login.usw2.pure.cloud/saml
    Asie-Pacifique (Séoul)

    https ://login.usw2.pure.cloud/saml

    https ://login.usw2.pure.cloud/saml
    Asie-Pacifique (Sydney)

    https://login.mypurecloud.com.au/saml

    https://login.mypurecloud.com.au/saml
    Asie-Pacifique (Tokyo) https ://login.mypurecloud.jp https ://login.mypurecloud.jp
  8. Dans Attributs de l’utilisateur et revendications, cliquez sur modifier et tapez ces noms attribut. Pour ajouter une revendication personnalisée, tapez le nom attribut personnalisé dans le champ Source attribut au-dessus de la liste déroulante.
    Remarque :  Les noms d’attribut sont sensibles à la casse. Tapez-les tels qu’ils apparaissent dans le tableau. N'utilisez pas d'espace de noms dans les revendications.

    Nom de l'attribut Valeur de l'attribut
    email 

    utilisateur.userprincipalname

    Remarques:

    • Pour la revendication par e-mail, créez une nouvelle revendication nommée email.

    • Fait référence à l'adresse e-mail de l'utilisateur dans Genesys Cloud. Généralement, l'adresse e-mail est user.userprincipalname, mais si l'administrateur Azure a un nom d'utilisateur principal différent (UPN) et e-mail, utilisez user.email (ou en tant qu'utilisateur.mail).

    • Les la casse doit correspondre le cas de l'adresse e-mail configurée pour cet utilisateur dans Genesys Cloud.

      Genesys Cloud change les adresses e-mail en minuscules. Si AD envoie l'e-mail avec des lettres majuscules, par exemple John.Smith@company.com, vous devez ajouter une transformation en minuscules à la revendication d'e-mail. 

      1. Dans Gérer la réclamation, sélectionnez Transformation.
      2. Dans Gérer la transformation, définissez Transformation sur ToLOWERCASE().
      3. Définissez le paramètre sur user.mail.

    • La revendication de nom doit également correspondre à la revendication d'adresse e-mail.

      Par exemple, si vous vous connectez à AD en tant que jsmith@company.com (user.userprinicpalname) mais que votre adresse e-mail réelle dans Genesys Cloud est john.smith@company.com, vous ne pouvez pas utiliser user.userprincipalname. Utilisez user.mail ou user.email, selon ce que vous avez dans votre système Azure. N'entrez pas d'informations sur l'espace de noms.
      Nom de l'organisation  Votre nom court d’organisation PureCloud
      Nom du service

      Une URL valide vers laquelle le navigateur doit être redirigé après une authentification réussie, ou l'un des mots clés suivants :

      • répertoire (redirige vers le client Genesys Cloud Collaborate )
      • directory-admin (redirige vers l’interface utilisateur Genesys Cloud Admin)
    • Dans le certificat de signature SAML, cliquez sur Certificat (Base 64) pour le télécharger.
    • En dessous de Configurer Genesys Cloud pour Azure, noter la URL de connexion, Identifiant Azure AD, et URL de déconnexion. Utilisez-les pour configurer l'URI cible et l'URI de l'émetteur dans Genesys Cloud.

    1. Cliquez sur Microsoft Entra ID > Enterprise Applications.
    2. Cliquez sur Nouvelle application.
    3. Dans Ajouter un application, cliquez sur application non-galerie.
    4. Dans le champ Nom, saisissez « Genesys Cloud ».
    5. Cliquez sur Authentification unique.
    6. Cliquez sur SAML.
    7. Dans Basic SAML Configuration, cliquez sur Edit et entrez l'URL de connexion SAML Genesys Cloud appropriée dans le champ Reply URL, et entrez l'URL de déconnexion dans le champ Logout URL.
      le Identifiant (EntityID) peut être toute valeur unique à l’instance Azure. Le tableau affiche l'URL de réponse et l'URL de déconnexion de votre organisation Genesys Cloud, en fonction de la région AWS :
      Région AWS

      URL de réponse

      URL de déconnexion
      USA Est (N. Virginie

      https ://login.mypurecloud.jp

      https ://login.mypurecloud.jp
      USA Est 2 (Ohio)

      https://login.use2.us-gov-pure.cloud/saml

      https://login.use2.us-gov-pure.cloud/saml/logout
      Ouest des États-Unis (Oregon)

      https ://login.usw2.pure.cloud/saml 

      https ://login.usw2.pure.cloud/saml
      Canada (Canada Centre)

      https ://login.usw2.pure.cloud/saml 

      https ://login.usw2.pure.cloud/saml
      Amérique du Sud (São Paulo)

      https://login.sae1.pure.cloud/saml 

      https://login.sae1.pure.cloud/saml/logout
      UE (Francfort)

      https ://login.mypurecloud.de

      https ://login.mypurecloud.de
      EU (Irlande)

      https ://login.mypurecloud.ie 

      https ://login.mypurecloud.ie
      UE (Londres)

      https ://login.usw2.pure.cloud/saml

      https ://login.usw2.pure.cloud/saml
      Asie-Pacifique (Mumbai)

      https ://login.usw2.pure.cloud/saml

      https ://login.usw2.pure.cloud/saml
      Asie-Pacifique (Séoul)

      https ://login.usw2.pure.cloud/saml

      https ://login.usw2.pure.cloud/saml
      Asie-Pacifique (Sydney)

      https://login.mypurecloud.com.au/saml

      https://login.mypurecloud.com.au/saml
      Asie-Pacifique (Tokyo) https ://login.mypurecloud.jp https ://login.mypurecloud.jp
    8. Dans Attributs de l’utilisateur et revendications, cliquez sur modifier et tapez ces noms attribut. Pour ajouter une revendication personnalisée, tapez le nom attribut personnalisé dans le champ Source attribut au-dessus de la liste déroulante.
      Remarque :  Les noms d’attribut sont sensibles à la casse. Tapez-les tels qu’ils apparaissent dans le tableau. N'utilisez pas d'espace de noms dans les revendications.

      Nom de l'attribut Valeur de l'attribut
      email 

      utilisateur.userprincipalname

      Remarques:

      • Fait référence à l'adresse e-mail de l'utilisateur dans Genesys Cloud. Généralement, l'adresse e-mail est user.userprincipalname, mais si l'administrateur Azure a un nom d'utilisateur principal différent (UPN) et e-mail, utilisez user.email.

        Par exemple, si vous vous connectez à AD en tant que jsmith@company.com (user.userprinicpalname) mais que votre adresse e-mail réelle est john.smith@company.com, utilisez user.mail ou user.email, selon ce que vous avez dans votre Système azur. N'entrez pas d'informations sur l'espace de noms.

      • La casse doit correspondre à la casse de l'adresse e-mail configurée pour cet utilisateur dans Genesys Cloud. Genesys Cloud met les e-mails par défaut en minuscules.

        Si AD envoie l'e-mail avec des lettres majuscules, par exemple John.Smith@company.com, vous devez ajouter une transformation en minuscules à la revendication d'e-mail. 
      Nom de l'organisation  Votre nom court d’organisation PureCloud
      Nom du service

      (Facultatif) Une URL valide vers laquelle le navigateur sera redirigé après une authentification réussie, ou l'un des mots clés suivants :

      • répertoire (redirige vers le client Genesys Cloud Collaborate )
      • directory-admin (redirige vers l’interface utilisateur Genesys Cloud Admin)
    9. Dans le certificat de signature SAML, cliquez sur Certificat (Base 64) pour le télécharger.
    10. En dessous de Configurer Genesys Cloud pour Azure, noter la URL de connexion, Identifiant Azure AD, et URL de déconnexion. Utilisez-les pour configurer l'URI cible et l'URI de l'émetteur dans Genesys Cloud.

    Attribuer des utilisateurs et des groupes à PureCloud application

    Après avoir configuré la galerie Genesys Cloud ou une application Genesys Cloud personnalisée, affectez les utilisateurs et les groupes à la connexion à Genesys Cloud en utilisant Microsoft Entra ID comme fournisseur d'identité.

    1. Dans la personnalisation application de PureCloud, cliquez sur Utilisateurs et groupes.
    2. Cliquez sur Ajouter utilisateur.
    3. Cliquez sur les utilisateurs et les groupes appropriés.
    4. Cliquez sur Attribuer.

    Configurer Genesys Cloud

    La configuration de Genesys Cloud s'applique à la fois à l'application de galerie Genesys Cloud et à une application Genesys Cloud personnalisée.

    1. Dans Genesys Cloud, cliquez surAdministrateur.
    2. Sous Intégrations, cliquez sur Authentification unique.
    3. Cliquez sur l'onglet ADFS/Microsoft Entra ID (Premium) .

    4. Saisissez les métadonnées du fournisseur d'identité recueillies auprès de Microsoft Entra ID.

      Champ Description
      Certificat

      Pour télécharger des certificats X.509 pour la validation de la signature SAML, effectuez l'une des opérations suivantes.

      1. Pour télécharger un certificat, cliquez sur Sélectionnez les certificats à télécharger.
      2. Sélectionnez le certificat X.509.
      3. Cliquez sur Ouvert.
      4. Facultativement, pour charger un certificat de sauvegarde, répétez les étapes 1 à 3.

      Ou vous pouvez :

      1. Faites glisser et déposez votre fichier de certificat.
      2. Si vous souhaitez charger un certificat de sauvegarde, répétez la première étape.

      Les certificats téléchargés apparaissent avec leur date d'expiration. Pour supprimer un certificat, cliquez sur X.

      Remarque :  Pour renouveler ou mettre à jour un certificat arrivant à expiration, suivez ces instructions pour télécharger des certificats X.509, en répétant les étapes 1 à 3. Vous pouvez télécharger jusqu'à cinq certificats dans Genesys Cloud par configuration SSO, et Genesys Cloud choisit le certificat correct lors de l'authentification unique et de la déconnexion.

      URI de l'émetteur

      Saisissez l'identifiant Azure AD à partir de l'application personnalisée Microsoft Entra ID Genesys Cloud.

      Remarque :  L'URI de l'émetteur est une URL, pas seulement l'ID. L'URL doit être au format « https://sts.windows.net/1234abcd5678efgh », où le GUID est l'ID d'entité d'Azure.
      URI cible Saisissez l'URL de connexion à partir de l'ID Microsoft Entra l'application personnalisée Genesys Cloud
      URI de déconnexion unique Saisissez l'URL de déconnexion à partir de l'application personnalisée Microsoft Entra ID Genesys Cloud.
      Liaison de déconnexion unique Choisissez Redirection HTTP.
      Identifiant du participant de confiance

      Saisissez l'identifiant (Entity ID) à partir de l'application personnalisée Microsoft Entra ID Genesys Cloud.


      Remarque :  La ressource SAML est la ressource par défaut de l'application dans Microsoft Entra ID. Nous recommandons d'utiliser la ressource SAML comme identifiant d'entité, car elle est unique et facilement disponible. Si vous exécutez plusieurs instances de l'intégration SSO sur votre instance Microsoft Entra ID, vous pouvez utiliser un identifiant unique tant que la configuration IDP dans Genesys Cloud a le même identifiant dans le champ Relying Party Identifier. Genesys Cloud utilise cette valeur pour s'identifier auprès de l'IDP.
    5. Cliquez sur Sauvegarder. 

    Tester l'application Microsoft Entra ID Genesys Cloud

    Le test de l'application Microsoft Entra ID Genesys Cloud s'applique à la fois à l'application Genesys Cloud gallery et à l'application Genesys Cloud personnalisée.

    • Dans la vue détaillée de l'authentification unique dans Microsoft Entra ID, cliquez sur Tester cette application.