Requisitos previos:
  • Inicio de sesión único> Proveedor> Agregar, eliminar, editar, ver permisos
  • Rol de administrador en la cuenta gratuita o premium de Azure AD de su organización
  • Las direcciones de correo electrónico de los usuarios son las mismas en ambos Azure AD y Genesys Cloud
  • Cualquier versión de Microsoft Azure AD Premium que admita SAML 2.0 (diferencias en la configuración, según la versión).
  • O una suscripción gratuita de Azure AD que admita SSO

Agregue Genesys Cloud como una aplicación a la que los miembros de la organización pueden acceder con las credenciales de su cuenta de Microsoft Azure AD Premium o gratuita de Azure AD.

Notas:
  • Genesys Cloud no admite el cifrado de aserción para proveedores de identidad de terceros de inicio de sesión único. El servicio de inicio de sesión de Genesys Cloud requiere Transport Layer Security (TLS). Dado que el canal está cifrado, no es necesario cifrar partes del mensaje.
  • Los administradores pueden, opcionalmente, deshabilitar el inicio de sesión predeterminado de Genesys Cloud y hacer cumplir la autenticación utilizando solo un proveedor de SSO. Para más información, ver Configurar Genesys Cloud para autenticarse solo con SSO.
  • Los administradores pueden optar por almacenar cuatro certificados adicionales para garantizar la continuidad del negocio. Si un certificado deja de ser válido o caduca, la integración se mantiene si uno de los certificados adicionales es válido. 

  • Existe un problema generalizado cuando un proveedor de servicios (SP) recibe una respuesta SAML de un proveedor de identidades (IdP) y sus relojes de sistema no están sincronizados. Este problema puede dar lugar a que los usuarios se bloqueen en su inicio de sesión único al iniciar la sesión. El problema podría estar causado por la longitud del desvío del reloj entre el SP y el IdP. Las desviaciones del reloj entre Genesys Cloud y su proveedor de identidad no pueden ser superiores a 10 segundos.

  • La aplicación de escritorio de Genesys Cloud no admite la instalación de extensiones de navegador. Si ha configurado una política de acceso condicional de Azure que requiere una extensión de navegador, deberá utilizar un navegador compatible con Genesys Cloud que tenga instalada la extensión Azure AD. El inicio de sesión único no funcionará con la aplicación de escritorio en esta configuración.

Configurar Microsoft Azure AD

Puede configurar la aplicación de la galería Genesys Cloud (método preferido) o crear una aplicación personalizada Genesys Cloud.

  1. Hacer clic Azure Active Directory > Empresa Aplicaciones.
  2. Hacer clic Nueva aplicación.
  3. En el cuadro de búsqueda, escriba "Genesys Cloud for Azure".
  4. Haga clic en la aplicación, agregue un nombre y luego haga clic en Crear.

    Nota: Seleccione el publicado por Genesys Labs Inc.

  5. Hacer clic Inicio de sesión único.
  6. Hacer clic SAML.
  7. En Configuración SAML básica, haga clic en Editar e introduzca la URL de inicio de sesión SAML de Genesys Cloud adecuada en el campo URL de respuesta, e introduzca la URL de cierre de sesión en el campo URL de cierre de sesión.
    los Identificador (EntityID) puede ser cualquier valor exclusivo de la instancia de Azure. La tabla muestra la URL de respuesta y la URL de cierre de sesión de su organización de Genesys Cloud, en función de la región de AWS:
    Región de AWS

    URL de respuesta

    URL de cierre de sesión
    Este de EE. UU. (N. Virginia)

    https://login.mypurecloud.com/saml

    https://login.mypurecloud.com/saml
    EE.UU. Este 2 (Ohio)

    https://login.use2.us-gov-pure.cloud/saml

    https://login.use2.us-gov-pure.cloud/saml/logout
    Oeste de EE. UU. (Oregón)

    https://login.usw2.pure.cloud/saml 

    https://login.usw2.pure.cloud/saml
    Canadá (Canadá central)

    https://login.cac1.pure.cloud/saml 

    https://login.cac1.pure.cloud/saml
    América del Sur (São Paulo)

    https://login.sae1.pure.cloud/saml 

    https://login.sae1.pure.cloud/saml/logout
    UE (Frankfurt)

    https://login.mypurecloud.de/saml

    https://login.mypurecloud.de/saml
    UE (Irlanda)

    https://login.mypurecloud.ie/saml 

    https://login.mypurecloud.ie/saml
    UE (Londres)

    https://login.euw2.pure.cloud/saml

    https://login.euw2.pure.cloud/saml
    Oriente Próximo (EAU)

    https://login.mec1.pure.cloud/saml

    https://login.mec1.pure.cloud/logout
    Asia Pacífico (Mumbai)

    https://login.aps1.pure.cloud/saml

    https://login.aps1.pure.cloud/saml
    Asia Pacífico (Seúl)

    https://login.apne2.pure.cloud/saml

    https://login.apne2.pure.cloud/saml
    Asia Pacífico (Sydney)

    https://login.mypurecloud.com.au/saml

    https://login.mypurecloud.com.au/saml
    Asia Pacífico (Tokio) https://login.mypurecloud.jp/saml https://login.mypurecloud.jp/saml
  8. En Atributos y reclamos de usuario, haga clic en Editar y escriba estos nombres de atributos. Para agregar un reclamo personalizado, escriba el nombre del atributo personalizado en el campo Atributo de origen sobre la lista desplegable.
    Nota: Los nombres de los atributos distinguen entre mayúsculas y minúsculas. Escríbalos como aparecen en la tabla. No utilice un espacio de nombres en las reclamaciones.

    Nombre del Atributo Valor de atributo
    Email 

    user.userprincipalname

    Notas:

    • Para el reclamo por correo electrónico, cree un nuevo reclamo llamado email.

    • Hace referencia a la dirección de correo electrónico del usuario en Genesys Cloud. Por lo general, la dirección de correo electrónico es user.userprincipalname, pero si el administrador de Azure tiene un nombre principal de usuario diferente (UPN) y correo electrónico, use user.email (o como usuario.mail).

    • los caso debe coincidir el caso de la dirección de correo electrónico configurada para ese usuario en Genesys Cloud.

      Genesys Cloud cambia las direcciones de correo electrónico a minúsculas. Si AD envía el correo electrónico con letras mayúsculas, por ejemplo, John.Smith@company.com, debe agregar una transformación en minúsculas al reclamo por correo electrónico. 

      1. En Administrar reclamo, seleccione Transformación.
      2. En Administrar transformación, establezca Transformación en ToLOWERCASE ().
      3. Establezca el parámetro en user.mail.

    • El reclamo de nombre también debe coincidir con el reclamo de correo electrónico.

      Por ejemplo, si inicia sesión en AD como jsmith@company.com (user.userprincipalname) pero su dirección de correo electrónico real en Genesys Cloud es john.smith@company.com, no puede usar user.userprincipalname. Use user.mail o user.email, según lo que tenga en su sistema Azure. No ingrese la información del espacio de nombres.
      Nombre de la Organización  El nombre corto de su organización Genesys Cloud
      Nombre del Servicio

      Una URL válida a la que se redireccionará el navegador después de una autenticación exitosa, o una de las siguientes palabras clave:

      • directorio (redirige al cliente Genesys Cloud Collaborate)
      • directory-admin (redirige a la interfaz de usuario de Genesys Cloud Admin)
    • En el Certificado de firma SAML, haga clic en Certificado (Base 64) para descargarlo
    • Por debajo Configurar Genesys Cloud para Azure, nota la URL de inicio de sesión, Identificador de Azure AD, y URL de cierre de sesión. Úselos para configurar el URI de destino y el URI del emisor en Genesys Cloud.

    1. Hacer clic Azure Active Directory > Empresa Aplicaciones.
    2. Hacer clic Nueva aplicación.
    3. En Agregar una aplicación, haga clic en Aplicación sin galería.
    4. En el campo Nombre, escriba "Genesys Cloud".
    5. Hacer clic Inicio de sesión único.
    6. Hacer clic SAML.
    7. En Configuración SAML básica, haga clic en Editar e introduzca la URL de inicio de sesión SAML de Genesys Cloud adecuada en el campo URL de respuesta, e introduzca la URL de cierre de sesión en el campo URL de cierre de sesión.
      los Identificador (EntityID) puede ser cualquier valor exclusivo de la instancia de Azure. La tabla muestra la URL de respuesta y la URL de cierre de sesión de su organización de Genesys Cloud, en función de la región de AWS:
      Región de AWS

      URL de respuesta

      URL de cierre de sesión
      Este de EE. UU. (N. Virginia)

      https://login.mypurecloud.com/saml

      https://login.mypurecloud.com/saml
      EE.UU. Este 2 (Ohio)

      https://login.use2.us-gov-pure.cloud/saml

      https://login.use2.us-gov-pure.cloud/saml/logout
      Oeste de EE. UU. (Oregón)

      https://login.usw2.pure.cloud/saml 

      https://login.usw2.pure.cloud/saml
      Canadá (Canadá central)

      https://login.cac1.pure.cloud/saml 

      https://login.cac1.pure.cloud/saml
      América del Sur (São Paulo)

      https://login.sae1.pure.cloud/saml 

      https://login.sae1.pure.cloud/saml/logout
      UE (Frankfurt)

      https://login.mypurecloud.de/saml

      https://login.mypurecloud.de/saml
      UE (Irlanda)

      https://login.mypurecloud.ie/saml 

      https://login.mypurecloud.ie/saml
      UE (Londres)

      https://login.euw2.pure.cloud/saml

      https://login.euw2.pure.cloud/saml
      Asia Pacífico (Mumbai)

      https://login.aps1.pure.cloud/saml

      https://login.aps1.pure.cloud/saml
      Asia Pacífico (Seúl)

      https://login.apne2.pure.cloud/saml

      https://login.apne2.pure.cloud/saml
      Asia Pacífico (Sydney)

      https://login.mypurecloud.com.au/saml

      https://login.mypurecloud.com.au/saml
      Asia Pacífico (Tokio) https://login.mypurecloud.jp/saml https://login.mypurecloud.jp/saml
    8. En Atributos y reclamos de usuario, haga clic en Editar y escriba estos nombres de atributos. Para agregar un reclamo personalizado, escriba el nombre del atributo personalizado en el campo Atributo de origen sobre la lista desplegable.
      Nota: Los nombres de los atributos distinguen entre mayúsculas y minúsculas. Escríbalos como aparecen en la tabla. No utilice un espacio de nombres en las reclamaciones.

      Nombre del Atributo Valor de atributo
      Email 

      user.userprincipalname

      Notas:

      • Hace referencia a la dirección de correo electrónico del usuario en Genesys Cloud. Por lo general, la dirección de correo electrónico es user.userprincipalname, pero si el administrador de Azure tiene un nombre principal de usuario diferente (UPN) y correo electrónico, use user.email.

        Por ejemplo, si inicia sesión en AD como jsmith@company.com (user.userprinicpalname) pero su dirección de correo electrónico real es john.smith@company.com, use user.mail o user.email, según lo que tenga en su sistema azul. No ingrese la información del espacio de nombres.

      • El caso debe coincidir con el caso de la dirección de correo electrónico configurada para ese usuario en Genesys Cloud. Genesys Cloud predetermina el correo electrónico en minúsculas.

        Si AD envía el correo electrónico con letras mayúsculas, por ejemplo, John.Smith@company.com, debe agregar una transformación en minúsculas al reclamo por correo electrónico. 
      Nombre de la Organización  El nombre corto de su organización Genesys Cloud
      Nombre del Servicio

      (Opcional) Una URL válida a la que se redirigirá el navegador después de una autenticación correcta, o una de las siguientes palabras clave:

      • directorio (redirige al cliente Genesys Cloud Collaborate)
      • directory-admin (redirige a la interfaz de usuario de Genesys Cloud Admin)
    9. En el Certificado de firma SAML, haga clic en Certificado (Base 64) para descargarlo
    10. Por debajo Configurar Genesys Cloud para Azure, nota la URL de inicio de sesión, Identificador de Azure AD, y URL de cierre de sesión. Úselos para configurar el URI de destino y el URI del emisor en Genesys Cloud.

    Asignar usuarios y grupos a la aplicación Genesys Cloud

    Después de configurar la aplicación de la galería Genesys Cloud o una aplicación personalizada Genesys Cloud, asigne los usuarios y grupos que iniciarán sesión en Genesys Cloud utilizando Azure AD como proveedor de identidad.

    1. En la aplicación personalizada Genesys Cloud, haga clic en Usuarios y grupos.
    2. Hacer clic Agregar usuario.
    3. Haga clic en los usuarios y grupos adecuados.
    4. Hacer clic Asignar.

    Configurar Genesys Cloud

    La configuración de Genesys Cloud se aplica tanto a la aplicación de galería de Genesys Cloud como a una aplicación personalizada de Genesys Cloud.

    1. En Genesys Cloud, haga clic en Administración.
    2. En Integraciones, haga clic en Inicio de sesión único.
    3. Haga clic en el ADFS / Azure AD (Premium) pestaña.

    4. Escriba los metadatos del proveedor de identidad recopilados de Azure AD.

      Campo Descripción
      Certificado

      Para cargar certificados X.509 para la validación de firmas SAML, realice una de las siguientes acciones.

      1. Para cargar un certificado, haga clic en Seleccione Certificados para cargar.
      2. Seleccione el certificado X.509.
      3. Hacer clic Abierto.
      4. Opcionalmente, para cargar un certificado de respaldo, repita los pasos 1-3.

      O puedes:

      1. Arrastre y suelte su archivo de certificado.
      2. Opcionalmente, para cargar un certificado de copia de seguridad, repita el primer paso.

      Los certificados cargados aparecen con su fecha de caducidad. Para eliminar un certificado, haga clic en X.

      Nota: Para renovar o actualizar un certificado que caduca, siga estas instrucciones para cargar certificados X.509, repitiendo los pasos 1--3. Puede cargar hasta cinco certificados en Genesys Cloud por configuración de SSO, y Genesys Cloud elige el certificado correcto durante el inicio y el cierre de sesión únicos.

      URI del emisor

      Escribe el ID de entidad SAML desde la aplicación personalizada Azure AD Genesys Cloud.

      Nota: El URI del emisor es una URL, no solo el ID. La URL debe tener el formato 'https://sts.windows.net/1234abcd5678efgh', donde el GUID es el Id. De entidad de Azure.
      URI de destino Escribe el ID de entidad SAML desde la aplicación personalizada Azure AD Genesys Cloud. 
      URI de cierre de sesión único Escribe el ID de entidad SAML desde la aplicación personalizada Azure AD Genesys Cloud.
      Enlace de cierre de sesión único Escoger Redireccionamiento HTTP.
      Identificador de la parte que confía

      Escribe el ID de entidad SAML desde la aplicación personalizada Azure AD Genesys Cloud.


      Nota: El recurso SAML es el predeterminado para la aplicación dentro de Azure AD. Recomendamos utilizar el recurso SAML como ID de entidad, ya que es único y está fácilmente disponible. Si está ejecutando varias instancias de la integración de SSO en su instancia de Azure AD, puede utilizar un identificador único siempre que la configuración de IDP en Genesys Cloud tenga el mismo identificador en el campo Relying Party Identifier. Genesys Cloud utiliza este valor para identificarse ante el IDP.
    5. Hacer clic Ahorrar.

    Pruebe la aplicación Azure AD Genesys Cloud

    La prueba de aplicaciones en la nube de Azure AD Genesys se aplica tanto a la aplicación de galería de Genesys Cloud como a la aplicación personalizada de Genesys Cloud.

    • En la vista detallada del inicio de sesión único en Microsoft Azure AD, haga clic en Prueba esta aplicación.