Añadir Microsoft Entra ID como proveedor de inicio de sesión único
- Inicio de sesión único> Proveedor> Agregar, eliminar, editar, ver permisos
- Función de administrador en la cuenta Microsoft Entra ID Premium o Free de su organización
- Las direcciones de correo electrónico de los usuarios son las mismas tanto en Entra ID como en Genesys Cloud
- Cualquier versión de Microsoft Entra ID Premium que soporte SAML 2.0 (diferencias en la configuración, dependiendo de la versión).
- O una suscripción gratuita a Microsoft Entra ID que admita SSO
Añada Genesys Cloud como una aplicación a la que los miembros de la organización pueden acceder con las credenciales de su cuenta Microsoft Entra ID Premium o Free Microsoft Entra ID.
- Genesys Cloud no admite el cifrado de aserción para proveedores de identidad de terceros de inicio de sesión único. El servicio de inicio de sesión de Genesys Cloud requiere Transport Layer Security (TLS). Dado que el canal está cifrado, no es necesario cifrar partes del mensaje.
- Los administradores pueden, opcionalmente, deshabilitar el inicio de sesión predeterminado de Genesys Cloud y hacer cumplir la autenticación utilizando solo un proveedor de SSO. Para más información, ver Configurar Genesys Cloud para autenticarse solo con SSO.
- Los administradores pueden optar por almacenar cuatro certificados adicionales para garantizar la continuidad del negocio. Si un certificado deja de ser válido o caduca, la integración se mantiene si uno de los certificados adicionales es válido.
Existe un problema generalizado cuando un proveedor de servicios (SP) recibe una respuesta SAML de un proveedor de identidades (IdP) y sus relojes de sistema no están sincronizados. Este problema puede dar lugar a que los usuarios se bloqueen en su inicio de sesión único al iniciar la sesión. El problema podría estar causado por la longitud del desvío del reloj entre el SP y el IdP. Las desviaciones del reloj entre Genesys Cloud y su proveedor de identidad no pueden ser superiores a 10 segundos.
- La aplicación de escritorio de Genesys Cloud no admite la instalación de extensiones de navegador. Si ha configurado una política de acceso condicional de Azure que requiere una extensión del navegador, deberá utilizar un navegador compatible con Genesys Cloud que tenga instalada la extensión Entra ID de Microsoft. El inicio de sesión único no funcionará con la aplicación de escritorio en esta configuración.
Configurar Microsoft Entra ID
Puede configurar la aplicación de la galería Genesys Cloud (método preferido) o crear una aplicación personalizada Genesys Cloud.
- Haga clic en Microsoft Entra ID > Empresa Aplicaciones.
- Hacer clic Nueva aplicación.
- En el cuadro de búsqueda, escriba "Genesys Cloud for Azure".
- Haga clic en la aplicación, agregue un nombre y luego haga clic en Crear.
Nota: Seleccione el publicado por Genesys Labs Inc.
- Hacer clic Inicio de sesión único.
- Hacer clic SAML.
- En Configuración SAML básica, haga clic en Editar e introduzca la URL de inicio de sesión SAML de Genesys Cloud adecuada en el campo URL de respuesta, e introduzca la URL de cierre de sesión en el campo URL de cierre de sesión.
los Identificador (EntityID) puede ser cualquier valor exclusivo de la instancia de Azure. La tabla muestra la URL de respuesta y la URL de cierre de sesión de su organización de Genesys Cloud, en función de la región de AWS:
Región de AWS URL de respuesta
URL de cierre de sesión
Este de EE. UU. (N. Virginia) https://login.mypurecloud.com/saml
https://login.mypurecloud.com/saml/logout
EE.UU. Este 2 (Ohio) https://login.use2.us-gov-pure.cloud/saml
https://login.use2.us-gov-pure.cloud/saml/logout
Oeste de EE. UU. (Oregón) https://login.usw2.pure.cloud/saml
https://login.usw2.pure.cloud/saml/logout
Canadá (Canadá central) https://login.cac1.pure.cloud/saml
https://login.cac1.pure.cloud/saml/logout
América del Sur (São Paulo) https://login.sae1.pure.cloud/saml
https://login.sae1.pure.cloud/saml/logout
EMEA (Fráncfort) https://login.mypurecloud.de/saml
https://login.mypurecloud.de/saml/logout
EMEA (Irlanda) https://login.mypurecloud.ie/saml
https://login.mypurecloud.ie/saml/logout
EMEA (Londres) https://login.euw2.pure.cloud/saml
https://login.euw2.pure.cloud/saml/logout
EMEA (EAU) https://login.mec1.pure.cloud/saml
https://login.mec1.pure.cloud/saml/logout
EMEA (Zúrich)
https://login.euc2.pure.cloud/saml
https://login.euc2.pure.cloud/saml/logout
Oriente Próximo (EAU) https://login.mec1.pure.cloud/saml
https://login.mec1.pure.cloud/logout
Asia Pacífico (Mumbai) https://login.aps1.pure.cloud/saml
https://login.aps1.pure.cloud/saml/logout
Asia-Pacífico (Osaka) https://login.apne3.pure.cloud/saml
https://login.apne3.pure.cloud/saml/logout
Asia Pacífico (Seúl) https://login.apne2.pure.cloud/saml
https://login.apne2.pure.cloud/saml/logout
Asia Pacífico (Sydney) https://login.mypurecloud.com.au/saml
https://login.mypurecloud.com.au/saml/logout
Asia Pacífico (Tokio) https://login.mypurecloud.jp/saml
https://login.mypurecloud.jp/saml/logout
- En Atributos y reclamos de usuario, haga clic en Editar y escriba estos nombres de atributos. Para agregar un reclamo personalizado, escriba el nombre del atributo personalizado en el campo Atributo de origen sobre la lista desplegable.
Nota: Los nombres de los atributos distinguen entre mayúsculas y minúsculas. Escríbalos como aparecen en la tabla. No utilice un espacio de nombres en las reclamaciones.
Nombre del Atributo Valor de atributo Email user.userprincipalname
Notas:
- Para el reclamo por correo electrónico, cree un nuevo reclamo llamado email.
- Hace referencia a la dirección de correo electrónico del usuario en Genesys Cloud. Por lo general, la dirección de correo electrónico es user.userprincipalname, pero si el administrador de Azure tiene un nombre principal de usuario diferente (UPN) y correo electrónico, use user.email (o como usuario.mail).
- los caso debe coincidir el caso de la dirección de correo electrónico configurada para ese usuario en Genesys Cloud.
Genesys Cloud cambia las direcciones de correo electrónico a minúsculas. Si AD envía el correo electrónico con letras mayúsculas, por ejemplo, John.Smith@company.com, debe agregar una transformación en minúsculas al reclamo por correo electrónico.
-
- En Administrar reclamo, seleccione Transformación.
- En Administrar transformación, establezca Transformación en ToLOWERCASE ().
- Establezca el parámetro en user.mail.
- El reclamo de nombre también debe coincidir con el reclamo de correo electrónico.
Por ejemplo, si inicia sesión en AD como jsmith@company.com (user.userprincipalname) pero su dirección de correo electrónico real en Genesys Cloud es john.smith@company.com, no puede usar user.userprincipalname. Use user.mail o user.email, según lo que tenga en su sistema Azure. No ingrese la información del espacio de nombres.
Nombre de la Organización El nombre corto de su organización Genesys Cloud Nombre del Servicio Una URL válida a la que se redireccionará el navegador después de una autenticación exitosa, o una de las siguientes palabras clave:
- directorio (redirige al cliente Genesys Cloud Collaborate)
- directory-admin (redirige a la interfaz de usuario de Genesys Cloud Admin)
- Para el reclamo por correo electrónico, cree un nuevo reclamo llamado email.
- En el Certificado de firma SAML, haga clic en Certificado (Base 64) para descargarlo
- Por debajo Configurar Genesys Cloud para Azure, nota la URL de inicio de sesión, Identificador de Azure AD, y URL de cierre de sesión. Úselos para configurar el URI de destino y el URI del emisor en Genesys Cloud.
- Haga clic en Microsoft Entra ID > Empresa Aplicaciones.
- Hacer clic Nueva aplicación.
- En Agregar una aplicación, haga clic en Aplicación sin galería.
- En el campo Nombre, escriba "Genesys Cloud".
- Hacer clic Inicio de sesión único.
- Hacer clic SAML.
- En Configuración SAML básica, haga clic en Editar e introduzca la URL de inicio de sesión SAML de Genesys Cloud adecuada en el campo URL de respuesta, e introduzca la URL de cierre de sesión en el campo URL de cierre de sesión.
los Identificador (EntityID) puede ser cualquier valor exclusivo de la instancia de Azure. La tabla muestra la URL de respuesta y la URL de cierre de sesión de su organización de Genesys Cloud, en función de la región de AWS:
Región de AWS URL de respuesta
URL de cierre de sesión
Este de EE. UU. (N. Virginia) https://login.mypurecloud.com/saml
https://login.mypurecloud.com/saml/logout
EE.UU. Este 2 (Ohio) https://login.use2.us-gov-pure.cloud/saml
https://login.use2.us-gov-pure.cloud/saml/logout
Oeste de EE. UU. (Oregón) https://login.usw2.pure.cloud/saml
https://login.usw2.pure.cloud/saml/logout
Canadá (Canadá central) https://login.cac1.pure.cloud/saml
https://login.cac1.pure.cloud/saml/logout
América del Sur (São Paulo) https://login.sae1.pure.cloud/saml
https://login.sae1.pure.cloud/saml/logout
UE (Frankfurt) https://login.mypurecloud.de/saml
https://login.mypurecloud.de/saml/logout
UE (Irlanda) https://login.mypurecloud.ie/saml
https://login.mypurecloud.ie/saml/logout
UE (Londres) https://login.euw2.pure.cloud/saml
https://login.euw2.pure.cloud/saml/logout
Asia Pacífico (Mumbai) https://login.aps1.pure.cloud/saml
https://login.aps1.pure.cloud/saml/logout
Asia Pacífico (Seúl) https://login.apne2.pure.cloud/saml
https://login.apne2.pure.cloud/saml/logout
Asia Pacífico (Sydney) https://login.mypurecloud.com.au/saml
https://login.mypurecloud.com.au/saml/logout
Asia Pacífico (Tokio) https://login.mypurecloud.jp/saml
https://login.mypurecloud.jp/saml/logout
- En Atributos y reclamos de usuario, haga clic en Editar y escriba estos nombres de atributos. Para agregar un reclamo personalizado, escriba el nombre del atributo personalizado en el campo Atributo de origen sobre la lista desplegable.
Nota: Los nombres de los atributos distinguen entre mayúsculas y minúsculas. Escríbalos como aparecen en la tabla. No utilice un espacio de nombres en las reclamaciones.
Nombre del Atributo Valor de atributo Email user.userprincipalname
Notas:
-
Hace referencia a la dirección de correo electrónico del usuario en Genesys Cloud. Por lo general, la dirección de correo electrónico es user.userprincipalname, pero si el administrador de Azure tiene un nombre principal de usuario diferente (UPN) y correo electrónico, use user.email.
Por ejemplo, si inicia sesión en AD como jsmith@company.com (user.userprinicpalname) pero su dirección de correo electrónico real es john.smith@company.com, use user.mail o user.email, según lo que tenga en su sistema azul. No ingrese la información del espacio de nombres. -
El caso debe coincidir con el caso de la dirección de correo electrónico configurada para ese usuario en Genesys Cloud. Genesys Cloud predetermina el correo electrónico en minúsculas.
Si AD envía el correo electrónico con letras mayúsculas, por ejemplo, John.Smith@company.com, debe agregar una transformación en minúsculas al reclamo por correo electrónico.
Nombre de la Organización El nombre corto de su organización Genesys Cloud Nombre del Servicio (Opcional) Una URL válida a la que se redirigirá el navegador después de una autenticación correcta, o una de las siguientes palabras clave:
- directorio (redirige al cliente Genesys Cloud Collaborate)
- directory-admin (redirige a la interfaz de usuario de Genesys Cloud Admin)
-
- En el Certificado de firma SAML, haga clic en Certificado (Base 64) para descargarlo
- Por debajo Configurar Genesys Cloud para Azure, nota la URL de inicio de sesión, Identificador de Azure AD, y URL de cierre de sesión. Úselos para configurar el URI de destino y el URI del emisor en Genesys Cloud.
Asignar usuarios y grupos a la aplicación Genesys Cloud
Después de configurar la galería de Genesys Cloud o una aplicación personalizada de Genesys Cloud, asigne los usuarios y grupos para iniciar sesión en Genesys Cloud utilizando Microsoft Entra ID como proveedor de identidad.
- En la aplicación personalizada Genesys Cloud, haga clic en Usuarios y grupos.
- Hacer clic Agregar usuario.
- Haga clic en los usuarios y grupos adecuados.
- Hacer clic Asignar.
Configurar Genesys Cloud
La configuración de Genesys Cloud se aplica tanto a la aplicación de galería de Genesys Cloud como a una aplicación personalizada de Genesys Cloud.
- En Genesys Cloud, haga clic en Administración.
- En Integraciones, haga clic en Inicio de sesión único.
- Haga clic en la pestaña ADFS/Microsoft Entra ID (Premium) .
-
Escriba los metadatos del proveedor de identidad recogidos de Microsoft Entra ID.
Campo Descripción Certificado Para cargar certificados X.509 para la validación de firmas SAML, realice una de las siguientes acciones.
- Para cargar un certificado, haga clic en Seleccione Certificados para cargar.
- Seleccione el certificado X.509.
- Hacer clic Abierto.
- Opcionalmente, para cargar un certificado de respaldo, repita los pasos 1-3.
O puedes:
- Arrastre y suelte su archivo de certificado.
- Opcionalmente, para cargar un certificado de copia de seguridad, repita el primer paso.
Los certificados cargados aparecen con su fecha de caducidad. Para eliminar un certificado, haga clic en X.
Nota: Para renovar o actualizar un certificado que caduca, siga estas instrucciones para cargar certificados X.509, repitiendo los pasos 1--3. Puede cargar hasta cinco certificados en Genesys Cloud por configuración de SSO, y Genesys Cloud elige el certificado correcto durante el inicio y el cierre de sesión únicos.URI del emisor Escriba el Azure AD Identifier de la aplicación personalizada Microsoft Entra ID Genesys Cloud.
Nota: El URI del emisor es una URL, no solo el ID. La URL debe tener el formato 'https://sts.windows.net/1234abcd5678efgh', donde el GUID es el Id. De entidad de Azure.URI de destino Escriba la URL de inicio de sesión de el ID de Microsoft Entra aplicación personalizada de Genesys Cloud. URI de cierre de sesión único Escriba la URL de cierre de sesión de la aplicación personalizada Entra ID Genesys Cloud de Microsoft. Enlace de cierre de sesión único Escoger Redireccionamiento HTTP. Identificador de la parte que confía Escriba el identificador (Entity ID) de la aplicación personalizada de Microsoft Entra ID Genesys Cloud.
Nota: El recurso SAML es el predeterminado para la aplicación dentro de Microsoft Entra ID. Recomendamos utilizar el recurso SAML como ID de entidad, ya que es único y está fácilmente disponible. Si está ejecutando múltiples instancias de la integración SSO en su instancia de Microsoft Entra ID, puede utilizar un identificador único siempre y cuando la configuración IDP en Genesys Cloud tenga el mismo identificador en el campo Relying Party Identifier. Genesys Cloud utiliza este valor para identificarse ante el IDP. El identificador de la parte de confianza puede ser cualquier valor siempre que pueda identificar de forma exclusiva a Genesys Cloud ante el proveedor de identidad. - Hacer clic Ahorrar.
Pruebe la aplicación Microsoft Entra ID Genesys Cloud
Las pruebas de la aplicación Genesys Cloud de Microsoft Entra ID se aplican tanto a la aplicación de galería Genesys Cloud como a la aplicación Genesys Cloud personalizada.
- En la vista detallada del inicio de sesión único en Microsoft Entra ID, haga clic en Pruebe esta aplicación.