Agregar Okta como proveedor de inicio de sesión único

Requisitos previos:
  • Inicio de sesión único > Proveedor > Añadir, eliminar, editar, y Ver permisos
  • Rol de administrador en la cuenta Okta de su organización
  • Las direcciones de correo electrónico de los usuarios son las mismas tanto en Okta como en Genesys Cloud

Agregue Genesys Cloud como una aplicación a la que los miembros de la organización pueden acceder con las credenciales de su cuenta Okta.

Notas:
  • Genesys Cloud no admite el cifrado de aserción para proveedores de identidad de terceros de inicio de sesión único. El servicio de inicio de sesión de Genesys Cloud requiere Transport Layer Security (TLS). Dado que el canal está cifrado, no es necesario cifrar partes del mensaje.
  • Los administradores pueden, opcionalmente, deshabilitar el inicio de sesión predeterminado de Genesys Cloud y hacer cumplir la autenticación utilizando solo un proveedor de SSO. Para más información, ver Configurar Genesys Cloud para autenticarse solo con SSO.
  • Los administradores pueden optar por almacenar cuatro certificados adicionales para garantizar la continuidad del negocio. Si un certificado deja de ser válido o caduca, la integración se mantiene si uno de los certificados adicionales es válido. 

  • Existe un problema generalizado cuando un proveedor de servicios (SP) recibe una respuesta SAML de un proveedor de identidades (IdP) y sus relojes de sistema no están sincronizados. Este problema puede dar lugar a que los usuarios se bloqueen en su inicio de sesión único al iniciar la sesión. El problema podría estar causado por la longitud del desvío del reloj entre el SP y el IdP. Las desviaciones del reloj entre Genesys Cloud y su proveedor de identidad no pueden ser superiores a 10 segundos.

  • La aplicación de escritorio de Genesys Cloud no admite la instalación de extensiones de navegador. Si ha configurado una política de acceso condicional de Azure que requiere una extensión del navegador, deberá utilizar un navegador compatible con Genesys Cloud que tenga instalada la extensión Entra ID de Microsoft. El inicio de sesión único no funcionará con la aplicación de escritorio en esta configuración.

Configurar Okta

Obtenga el certificado para la configuración de Okta

  1. En Genesys Cloud, haga clic en Administración.
  2. En Integraciones, haga clic en Inicio de sesión único.
  3. Haga clic en el Okta pestaña.
  4. Debajo Certificado de firma de Genesys Cloud, haga clic en Descargar certificado.
  5. Guarda el archivo.

Crea una aplicación SAML

  1. Cree una aplicación SAML para Genesys Cloud. Siga las instrucciones para configurar una aplicación SAML en Okta en la documentación para desarrolladores de Okta.

  2. En el General > URL de inicio de sesión único campo, escriba la URL de su organización de Genesys Cloud según la región de AWS.

    Región de AWS URL
    Este de EE. UU. (N. Virginia) https://login.mypurecloud.com/saml
    EE.UU. Este 2 (Ohio) https://login.use2.us-gov-pure.cloud/saml
    Oeste de EE. UU. (Oregón) https://login.usw2.pure.cloud/saml 
    Canadá (Canadá central) https://login.cac1.pure.cloud/saml 
    América del Sur (São Paulo) https://login.sae1.pure.cloud/saml 
    EMEA (Fráncfort) https://login.mypurecloud.de/saml
    EMEA (Irlanda) https://login.mypurecloud.ie/saml 
    EMEA (Londres) https://login.euw2.pure.cloud/saml
    EMEA (EAU) https://login.mec1.pure.cloud/saml
    EMEA (Zúrich) https://login.euc2.pure.cloud/saml
    Asia Pacífico (Mumbai) https://login.aps1.pure.cloud/saml
    Asia Pacífico (Seúl) https://login.apne2.pure.cloud/saml 
    Asia Pacífico (Sydney) https://login.mypurecloud.com.au/saml
    Asia Pacífico (Tokio) https://login.mypurecloud.jp/saml
    Asia-Pacífico (Osaka) https://login.apne3.pure.cloud/saml

  3. En General > URI de audiencia, el valor puede ser cualquier cadena única que desee utilizar para identificar su organización Genesys Cloud.

  4. Para General > Formato de ID de nombre, escoger Dirección de correo electrónico.

  5. Hacer clic Mostrar configuración avanzada.

  6. Para el General > Certificado de firma campo, haga clic Navegar.
  7. Elija el archivo de certificado guardado en el paso 5 de "Obtener el certificado para la configuración de Okta".
  8. Hacer clic Subir certificado.

  9. Haga clic en el General > Habilitar cierre de sesión único casilla de verificación.

  10. En General > URL de cierre de sesión único, escriba la URL de su organización de Genesys Cloud según la región de AWS.

    Región de AWS URL
    Este de EE. UU. (N. Virginia) https://login.mypurecloud.com/saml/logout
    EE.UU. Este 2 (Ohio) https://login.use2.us-gov-pure.cloud/saml/logout
    Oeste de EE. UU. (Oregón) https://login.usw2.pure.cloud/saml/logout 
    Canadá (Canadá central) https://login.cac1.pure.cloud/saml/logout 
    América del Sur (São Paulo) https://login.sae1.pure.cloud/saml/logout 
    EMEA (Fráncfort) https://login.mypurecloud.de/saml/logout
    EMEA (Irlanda) https://login.mypurecloud.ie/saml/logout 
    EMEA (Londres) https://login.euw2.pure.cloud/saml/logout
    EMEA (EAU)
    		https://login.mec1.pure.cloud/saml/logout
    EMEA (Zúrich)
    		https://login.euc2.pure.cloud/saml/logout
    Asia Pacífico (Mumbai) https://login.aps1.pure.cloud/saml/logout
    Asia Pacífico (Seúl) https://login.apne2.pure.cloud/saml/logout 
    Asia Pacífico (Sydney) https://login.mypurecloud.com.au/saml/logout
    Asia Pacífico (Tokio) https://login.mypurecloud.jp/saml/logout
    Asia-Pacífico (Osaka) https://login.apne3.pure.cloud/saml/logout
  11. Utilice los valores predeterminados para otros campos.
  12. Especifique la organización para que los usuarios de Genesys Cloud no tengan que ingresar cuando inicien sesión. Crea una nueva entrada en Declaraciones de atributos (opcional) con los siguientes valores: 
    Campo Descripción
    Nombre Escribe Nombre de la Organización.
    Formato de nombre Dejar configurado en Sin especificar.
    Valor Escriba el nombre corto de su organización Genesys Cloud. Si no conoce el nombre corto de su organización, haga clic en Administración > Configuraciones de la cuenta > Configuración de la organización en Genesys Cloud.
Nota: No se debe cambiar ninguna otra opción en la configuración de la aplicación para Okta. Para opciones como Página de inicio de sesión de la aplicación y Página de error de acceso a la aplicación, se prefiere la opción predeterminada.

Atributos SAML

Si los siguientes atributos SAML adicionales están presentes en la aserción, Genesys Cloud actúa sobre los atributos. Los atributos distinguen entre mayúsculas y minúsculas. 

Nombre del Atributo Valor de atributo
Email  Dirección de correo electrónico del usuario de Genesys Cloud que se va a autenticar.
  • Debe ser un usuario existente de Genesys Cloud.
  • Si el proveedor de identidad no utiliza una dirección de correo electrónico como NameID del asunto, necesita una dirección de correo electrónico válida.
Nombre del Servicio 

Una URL válida a la que se redireccionará el navegador después de una autenticación exitosa, o una de las siguientes palabras clave:

  • directorio (redirige al cliente Genesys Cloud Collaborate)
  • directory-admin (redirige a la interfaz de usuario de Genesys Cloud Admin)

Obtenga los metadatos para la configuración de Genesys Cloud

  1. En Iniciar sesión> Configuración, haga clic en Ver instrucciones de configuración para mostrar la información de configuración.
  2. Tenga en cuenta los siguientes metadatos del proveedor de identidad que necesita para la configuración de Genesys Cloud. 
    Metadatos Descripción
    URL de inicio de sesión único del proveedor de identidad Uso para el URL de destino configuración en Genesys Cloud.
    URL de inicio de sesión único del proveedor de identidad Utilizar para el URI de destino en Genesys Cloud.
    Emisor del proveedor de identidad Uso para el Okta URI del emisor configuración en Genesys Cloud.
    Certificado X.509 Uso para el Okta Certificado configuración en Genesys Cloud.

Obtenga el certificado para la configuración de Genesys Cloud

  1. En la página de metadatos del proveedor de identidad, haga clic en Descargar certificado.
  2. Guarde el archivo como .crt o .pem expediente.

Configurar Genesys Cloud

  1. En Genesys Cloud, haga clic en Administración.
  2. En Integraciones, haga clic en Inicio de sesión único.
  3. Haga clic en el Okta pestaña.
  4. Proporcione los metadatos del proveedor de identidad recopilados de Okta.
    Campo Descripción
    Certificado

    Para cargar certificados X.509 para la validación de firmas SAML, realice una de las siguientes acciones.

    1. Para cargar un certificado, haga clic en Seleccione Certificados para cargar.
    2. Seleccione el certificado X.509.
    3. Hacer clic Abierto.
    4. Opcionalmente, para cargar un certificado de respaldo, repita los pasos 1-3.

    O puedes:

    1. Arrastre y suelte su archivo de certificado.
    2. Opcionalmente, para cargar un certificado de copia de seguridad, repita el primer paso.

    Los certificados cargados aparecen con su fecha de caducidad. Para eliminar un certificado, haga clic en X.

    Nota: Para renovar o actualizar un certificado que caduca, siga estas instrucciones para cargar certificados X.509, repitiendo los pasos 1--3. Puede cargar hasta cinco certificados en Genesys Cloud por configuración de SSO, y Genesys Cloud elige el certificado correcto durante el inicio y el cierre de sesión únicos.

    URI del emisor Escriba el emisor del proveedor de identidad.
    URL de destino Escribe el URL de inicio de sesión único del proveedor de identidad. 
    URI de cierre de sesión único Escribe el URL de inicio de sesión único del proveedor de identidad.
    Enlace de cierre de sesión único Escoger Redireccionamiento HTTP.
    Audiencia (ID de entidad)  Escriba el valor utilizado en el paso 3 de "Crear una aplicación SAML".
  5. Hacer clic Ahorrar.