Agregar Microsoft ADFS como proveedor de inicio de sesión único

Requisitos previos:
  • Inicio de sesión único> Proveedor> Agregar, eliminar, editar, ver permisos
  • Rol de administrador en la cuenta ADFS de su organización
  • Las direcciones de correo electrónico de los usuarios son las mismas tanto en ADFS como en Genesys Cloud
  • Cualquier versión de Microsoft ADFS que admita SAML 2.0. Hay algunas diferencias en la configuración, dependiendo de la versión.

Agregue Genesys Cloud como una aplicación a la que los miembros de la organización pueden acceder con las credenciales de su cuenta de Microsoft ADFS.

Notas:
  • Genesys Cloud no admite el cifrado de aserción para proveedores de identidad de terceros de inicio de sesión único. El servicio de inicio de sesión de Genesys Cloud requiere Transport Layer Security (TLS). Dado que el canal está cifrado, no es necesario cifrar partes del mensaje.
  • Los administradores pueden, opcionalmente, deshabilitar el inicio de sesión predeterminado de Genesys Cloud y hacer cumplir la autenticación utilizando solo un proveedor de SSO. Para más información, ver Configurar Genesys Cloud para autenticarse solo con SSO.
  • Los administradores pueden optar por almacenar cuatro certificados adicionales para garantizar la continuidad del negocio. Si un certificado deja de ser válido o caduca, la integración se mantiene si uno de los certificados adicionales es válido. 

  • Existe un problema generalizado cuando un proveedor de servicios (SP) recibe una respuesta SAML de un proveedor de identidades (IdP) y sus relojes de sistema no están sincronizados. Este problema puede dar lugar a que los usuarios se bloqueen en su inicio de sesión único al iniciar la sesión. El problema podría estar causado por la longitud del desvío del reloj entre el SP y el IdP. Las desviaciones del reloj entre Genesys Cloud y su proveedor de identidad no pueden ser superiores a 10 segundos.

  • La aplicación de escritorio de Genesys Cloud no admite la instalación de extensiones de navegador. Si ha configurado una política de acceso condicional de Azure que requiere una extensión del navegador, deberá utilizar un navegador compatible con Genesys Cloud que tenga instalada la extensión Entra ID de Microsoft. El inicio de sesión único no funcionará con la aplicación de escritorio en esta configuración.

Configurar Microsoft ADFS

Obtenga el certificado para la configuración de ADFS

  1. En Genesys Cloud, haga clic en Administración.
  2. En Integraciones, haga clic en Inicio de sesión único.
  3. Haga clic en el ADFS / Azure AD (Premium) pestaña.
  4. Debajo Certificado de firma de Genesys Cloud, haga clic en Descargar certificado.
  5. Guarda el archivo.

Agregue la confianza de una parte que confía

  1. Ir a Herramientas administrativas > AD FS
  2. En el árbol de la consola, vaya a AD FS> Relaciones de confianza> Confianzas de terceros que confían.
  3. Para abrir el asistente, haga clic en Add Relying Party Trust.
  4. En la página de selección de fuentes de datos, haga clic en . Introduzca manualmente los datos de la parte que responde.
  5. En la página Especificar nombre para mostrar, introduzca un nombre para la parte que responde (es decir, Genesys Cloud).
  6. En la página Elegir perfil, haga clic en Perfil AD FS para seleccionar SAML.
  7. Omita la página de configuración del certificado.
  8. En la página Configurar URL, realice los siguientes pasos:
    1. Hacer clic Habilitar la compatibilidad con el protocolo SAML 2.0 WebSSO.

    2. En el campo debajo de la casilla de verificación, escriba la siguiente URL de su organización de Genesys Cloud basada en la región de AWS.

      Región de AWS

      URL
      Este de EE. UU. (N. Virginia)

      https://login.mypurecloud.com/saml
      EE.UU. Este 2 (Ohio) https://login.use2.us-gov-pure.cloud/saml
      Oeste de EE. UU. (Oregón)

      https://login.usw2.pure.cloud/saml 
      Canadá (Canadá central)

      https://login.cac1.pure.cloud/saml
      América del Sur (São Paulo)

      https://login.sae1.pure.cloud/saml
      EMEA (Fráncfort)

      https://login.mypurecloud.de/saml
      EMEA (Irlanda)

      https://login.mypurecloud.ie/saml 
      EMEA (Londres)

      https://login.euw2.pure.cloud/saml
      EMEA (EAU)

      https://login.mec1.pure.cloud/saml
      EMEA (Zúrich)

      https://login.euc2.pure.cloud/saml
      Asia Pacífico (Mumbai)

      https://login.aps1.pure.cloud/saml
      Asia Pacífico (Seúl)

      https://login.apne2.pure.cloud/saml 
      Asia Pacífico (Sydney)

      https://login.mypurecloud.com.au/saml
      Asia Pacífico (Tokio)

      https://login.mypurecloud.jp/saml
      Asia-Pacífico (Osaka) https://login.apne3.pure.cloud/saml
  9. En la página Configurar identificadores, escriba un valor para el identificador de confianza de la parte que confía. El valor puede ser cualquier cadena única que desee utilizar para identificar la confianza de la parte que confía. Al identificar una parte de confianza en una solicitud al Servicio de Federación, AD FS utiliza la lógica de coincidencia de prefijos para determinar una parte de confianza coincidente en la base de datos de configuración de AD FS.
  10. En la página Configurar la autenticación multifactorial ahora, elija si desea configurar la MFA.
    Nota: Este documento no cubre el procedimiento para configurar MFA.
  11. Deje todas las demás configuraciones en sus valores predeterminados y haga clic en Cerrar.
  12. En la página Fideicomisos de la parte que confía, haga clic con el botón derecho en el fideicomiso que creó en el procedimiento anterior y seleccione Editar reglas de reclamo.
  13. En el Puntos finales pestaña, haga clic en Agregar SAML.
  14. Para Tipo de punto final, escoger Cerrar sesión SAML.
    Región de AWS URL
    Este de EE. UU. (N. Virginia) https://login.mypurecloud.com/saml/logout
    EE.UU. Este 2 (Ohio) https://login.use2.us-gov-pure.cloud/saml/logout
    Oeste de EE. UU. (Oregón) https://login.usw2.pure.cloud/saml/logout 
    Canadá (Canadá central) https://login.cac1.pure.cloud/saml/logout 
    América del Sur (São Paulo) https://login.sae1.pure.cloud/saml/logout 
    EMEA (Fráncfort) https://login.mypurecloud.de/saml/logout
    EMEA (Irlanda) https://login.mypurecloud.ie/saml/logout 
    EMEA (Londres) https://login.euw2.pure.cloud/saml/logout
    EMEA (EAU) https://login.mec1.pure.cloud/saml/logout
     EMEA (Zurich) https://login.euc2.pure.cloud/saml/logout
    Asia Pacífico (Mumbai) https://login.aps1.pure.cloud/saml/logout
    Asia Pacífico (Seúl) https://login.apne2.pure.cloud/saml/logout 
    Asia Pacífico (Sydney) https://login.mypurecloud.com.au/saml/logout
    Asia Pacífico (Tokio) https://login.mypurecloud.jp/saml/logout
    Asia-Pacífico (Osaka) https://login.apne3.pure.cloud/saml/logout
  15. Hacer clic OK.
  16. En el Firma pestaña, haga clic en Agregar.
  17. Elija el certificado guardado en el paso 5 de "Obtener el certificado para la configuración de ADFS" y haga clic en . Abra.
  18. Hacer clic OK.

Agregar las reglas de reclamo

Añade tres reglas de reclamación: Correo electrónico, correo electrónico a NameID y nombre de la organización.

  1. En la página Fideicomisos de la parte que confía, haga clic con el botón derecho en el fideicomiso que creó en el procedimiento anterior y seleccione Editar reglas de reclamo.
  2. Agregue la regla de correo electrónico:
    1. Hacer clic Agregar regla

    2. Configure la regla de reclamo con la siguiente configuración:

      Propiedad Descripción
      Plantilla de regla de reclamo Seleccione Enviar atributos LDAP como reclamos.
      Nombre de la regla de reclamo Escribe Correo electrónico.
      Tienda de atributos Seleccione Directorio Activo.
      Atributo LDAP Seleccione Correos electrónicos.
      Tipo de reclamo saliente Seleccione Dirección de correo electrónico.
    3. Hacer clic Terminar.
  3. Agregue la regla de correo electrónico a NameID:
    1. Hacer clic Agregar regla.

    2. Configure la regla de reclamo con la siguiente configuración:

      Propiedad Descripción
      Plantilla de regla de reclamo Seleccione Transformar una reclamación entrante.
      Nombre de la regla de reclamo Escribe Correo electrónico a NameID.
      Tipo de reclamo entrante Seleccione Dirección de correo electrónico.
      Tipo de reclamo saliente Seleccione ID de nombre.
      Formato de ID de nombre saliente Seleccione Identificador transitorio.
      Pasar por todas las reclamaciones Seleccione Pasar por todas las reclamaciones.

    3. Hacer clic Terminar.

  4. Agregue la regla del nombre de la organización:

    1. Hacer clic Agregar regla.

    2. Configure la regla de reclamo con la siguiente configuración:

      Propiedad Descripción
      Plantilla de regla de reclamo Seleccione Enviar reclamaciones mediante una regla personalizada.
      Nombre de la regla de reclamo Escribe Nombre de la organización.
      Regla personalizada

      Introduzca el siguiente texto y sustituya OrgName por el nombre abreviado de su organización de Genesys Cloud. El nombre de la organización distingue entre mayúsculas y minúsculas.  

      => issue(Type = "OrganizationName", Value = "OrgName");
    3. Hacer clic Terminar.
  5. En la pestaña Reglas de transformación de la emisión, asegúrese de que las reglas están en el siguiente orden:
    1. Correo electrónico
    2. Correo electrónico a NameID
    3. Nombre de la organización

Atributos SAML

Si los siguientes atributos SAML están presentes en la aserción, Genesys Cloud actúa sobre esos atributos. Los atributos distinguen entre mayúsculas y minúsculas. 

Nombre del Atributo Valor de atributo
Nombre de la Organización 
  • Para el inicio de sesión único iniciado por el proveedor de identidad: Utilice el nombre corto de la organización.
  • Para el inicio de sesión único iniciado por el proveedor de servicios: El nombre de la organización debe coincidir con la organización seleccionada. Aplicable cuando una organización mantiene varias organizaciones de Genesys Cloud utilizando un único proveedor de identidad. 
Email  Dirección de correo electrónico del usuario de Genesys Cloud que se va a autenticar.
  • Debe ser un usuario existente de Genesys Cloud.
  • Si el proveedor de identidad no utiliza una dirección de correo electrónico como NameID del asunto, necesita una dirección de correo electrónico válida.
Nombre del Servicio 

Una URL válida a la que se redireccionará el navegador después de una autenticación exitosa, o una de las siguientes palabras clave:

  • directorio (redirige al cliente Genesys Cloud Collaborate)
  • directory-admin (redirige a la interfaz de usuario de Genesys Cloud Admin)

Obtenga el certificado para la configuración de Genesys Cloud

  1. En el árbol de la consola, vaya a AD FS> Servicio > Certificados.
  2. Haga clic con el botón derecho en el certificado en Firma de tokens y seleccione Ver Certificado.
  3. Haga clic en el Detalles pestaña y haga clic en Copiar a archivo.
  4. Para el formato de archivo de exportación, seleccione X.509 codificado en Base-64 (.CER).
  5. Para el nombre del archivo, siga los siguientes pasos:
    1. Hacer clic Navegar.
    2. Escriba un nombre de archivo.
    3. Hacer clic Ahorrar.
  6. Hacer clic Terminar.

Obtenga los metadatos para la configuración de Genesys Cloud

El archivo de metadatos contiene el emisor (entityID) y la URL de redireccionamiento para configurar Genesys Cloud.

  1. En el árbol de la consola, vaya a AD FS> Servicio > Puntos finales.
  2. Navegue y descargue el archivo llamado FederationMetadata.xml.

Seleccionar métodos de autenticación

Seleccione los métodos de autenticación para iniciar sesión en Genesys Cloud en la extranet y la intranet.

  1. En el árbol de la consola, vaya a AD FS> Políticas de autenticación.
  2. En Autenticación principal> Configuración global, haga clic en Editar.
  3. En Extranet, marque Autenticación de formularios.
  4. En Intranet, marque Autenticación de formularios y Autenticación de Windows.
  5. Hacer clic OK.

Configurar Genesys Cloud

  1. En Genesys Cloud, haga clic en Administración.
  2. En Integraciones, haga clic en Inicio de sesión único.
  3. Haga clic en el ADFS / Azure AD (Premium) pestaña.

  4. Ingrese los metadatos del proveedor de identidad recopilados de Microsoft ADFS.

    Campo Descripción
    Certificado

    Para cargar certificados X.509 para la validación de firmas SAML, realice una de las siguientes acciones.

    1. Para cargar un certificado, haga clic en Seleccione Certificados para cargar.
    2. Seleccione el certificado X.509.
    3. Hacer clic Abierto.
    4. Opcionalmente, para cargar un certificado de respaldo, repita los pasos 1-3.

    O puedes:

    1. Arrastre y suelte su archivo de certificado.
    2. Opcionalmente, para cargar un certificado de copia de seguridad, repita el primer paso.

    Los certificados cargados aparecen con su fecha de caducidad. Para eliminar un certificado, haga clic en X.

    Nota: Para renovar o actualizar un certificado que caduca, siga estas instrucciones para cargar certificados X.509, repitiendo los pasos 1--3. Puede cargar hasta cinco certificados en Genesys Cloud por configuración de SSO, y Genesys Cloud elige el certificado correcto durante el inicio y el cierre de sesión únicos.

    URI del emisor Ingrese el entityID del archivo FederationMetadata.xml.
    URI de destino

    Busque la etiqueta SingleSignOnService en el archivo FederationMetadata.xml con Binding igual a "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect". Por ejemplo: <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”>

    Utilice la URL contenida en el atributo "Location". Por ejemplo: https://your-adfs.com/adfs/ls
    URI de cierre de sesión único

    Busque la etiqueta SingleLogoutService en el archivo FederationMetadata.xml con Binding igual a "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect", por ejemplo: <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”>

    Utilice la URL contenida en el atributo "Location". Por ejemplo: https://your-adfs.com/adfs/ls
    Enlace de cierre de sesión único Seleccione Redireccionamiento HTTP.
    Identificador de la parte que confía Agregue el identificador único configurado al agregar Relying Party Trust. 
  5. Hacer clic Ahorrar.