シングル サインオン プロバイダーとして Salesforce を追加する

前提条件:
  • Single Sign-on > Provider > Add, Delete, Edit, View 権限
  • 組織のSalesforceアカウントにおける管理者の役割
  • IDプロバイダーとしてSalesforceが有効
  • すべてのユーザーにデプロイされたSalesforceドメイン
  • ユーザーの電子メールアドレスは、SalesforceとGenesys Cloudの両方で同じです

Genesys Cloudを、組織のメンバーがSalesforceアカウントの資格情報を使用してアクセスできるアプリケーションとして追加します。

メモ: 
  • Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
  • 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、SSOのみで認証するようにGenesys Cloudを設定するを参照してください。
  •  

  • サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。

  • Genesys Cloud デスクトップ アプリは、ブラウザ拡張機能のインストールをサポートしていません。ブラウザ拡張機能を必要とする Azure 条件付きアクセス ポリシーを構成している場合は、Microsoft Entra ID 拡張機能がインストールされている Genesys Cloud 対応ブラウザを使用する必要があります。この構成では、デスクトップ アプリを使用したシングル サインオンは機能しません。

Salesforceを設定する

アイデンティティプロバイダのイベントログを使用してエラーをトラブルシューティングします。

  1. Genesys Cloud の接続アプリを作成するには、アプリマネージャー新しい接続アプリを選択します。

  2. 新しい接続アプリページで、Genesys Cloud の接続アプリに次の設定を入力します。

     メモ:   ウェブアプリの設定で、SAML を有効にするを必ず選択してください。


    フィールド 説明
    エンティティ ID

    値は、信頼する相手 または 参加者信頼を識別するために使用する一意の文字列です。
    ACSのURL Genesys Cloud 組織の AWS リージョン:
    米国東部(N.バージニア): https://login.mypurecloud.com/saml
    米国東部2(オハイオ): https://login.use2.us-gov-pure.cloud/saml
    米国西部(オレゴン):     https://login.usw2.pure.cloud/saml
    カナダ(カナダ中部): https://login.cac1.pure.cloud/saml
    南米(サンパウロ): https://login.sae1.pure.cloud/saml
    EU(フランクフルト): https://login.mypurecloud.de/saml
    EU(アイルランド): https://login.mypurecloud.ie/saml  
    EU(ロンドン): https://login.euw2.pure.cloud/saml
    アジア太平洋(ムンバイ): https://login.aps1.pure.cloud/saml
    アジア太平洋(ソウル): https://login.apne2.pure.cloud/saml 
    アジア太平洋(シドニー):     https://login.mypurecloud.com.au/saml
    アジア太平洋(東京): https://login.mypurecloud.jp/saml
    シングルログアウトを有効にする ボックスをチェックしてください。
    シングル ログアウト URI Genesys Cloud 組織の AWS リージョン:
    米国東部(N.バージニア): https://login.mypurecloud.com/saml/logout
    米国東部2(オハイオ): https://login.use2.us-gov-pure.cloud/saml/logout
    米国西部(オレゴン):     https://login.usw2.pure.cloud/saml/logout
    カナダ(カナダ中部): https://login.cac1.pure.cloud/saml/logout
    南米(サンパウロ): https://login.sae1.pure.cloud/saml/logout
    EU(フランクフルト): https://login.mypurecloud.de/saml/logout
    EU(アイルランド): https://login.mypurecloud.ie/saml/logout  
    EU(ロンドン): https://login.euw2.pure.cloud/saml/logout
    アジア太平洋(ムンバイ): https://login.aps1.pure.cloud/saml/logout
    アジア太平洋(ソウル): https://login.apne2.pure.cloud/saml/logout 
    アジア太平洋(シドニー):     https://login.mypurecloud.com.au/saml/logout
    アジア太平洋(東京): https://login.mypurecloud.jp/saml/logout
    シングル ログアウト バインディング HTTPリダイレクトを選択します。
    件名タイプ    ユーザー名
    発行元 Salesforceドメイン名(https://yourID .my.salesforce.com)
    名前IDの形式 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

  3. アプリページから次のデータを収集します。

    フィールド 説明
    証明書
    1. 証明書名の横にあるIdP 証明書をクリックします。
    2. 証明書とキーの詳細ページで、証明書をダウンロードするをクリックします。
    3. 証明書をテキストファイルに保存します。
    発行者URI 発行者 値をコピーします。
    宛先 URI SP-Initiated Redirect Endpointラベル付きの値をコピーします。
    シングル ログアウト URI ラベルの付いた値をコピーします シングルログアウトエンドポイント
  4. SalesforceユーザーにGenesys CloudのConnected Appへのアクセスを提供します。 
    1. ユーザーの管理>ユーザーで、編集するをクリックします。
    2. プロファイルページを開くには、ユーザのプロファイルタイプ(たとえば、Sales、Services、またはAdministrator)をクリックします。
    3. [Connected App Access]で、[Connected App for Genesys Cloud]をクリックします。 

SAML属性

次のSAML属性がアサーションに存在する場合、GenesysCloudはそれらの属性に作用します。 属性では大文字と小文字が区別されます。 

属性名 属性値
組織名 
  • IDプロバイダーが開始したシングル サインオン : 組織の短縮名を使用します。
  • サービス プロバイダー開始の シングル サインオン: 組織名が選択した組織名と一致していることを確認してください。 単一のIDプロバイダーを使用して複数のGenesys Cloud組織を維持している場合に適用されます。 
Eメール 認証されるGenesys Cloudユーザーの電子メールアドレス。
  • 既存のGenesys Cloudユーザーである必要があります。
  • IDプロバイダーがサブジェクトNameIDとして電子メールアドレスを使用しない場合は、有効な電子メールアドレスが必要です。
サービス名 

有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:

  • directory (Genesys Cloud Collaborateクライアントにリダイレクト)
  • directory-admin(Genesys Cloud Admin UIにリダイレクト)

Genesysクラウドの設定

  1. Genesys Cloudで、管理をクリックします。
  2. 統合で、シングル・サインオンをクリックします。
  3. クリックメニュー> ITと統合>シングルサインオン
  4. Salesforce タブをクリックします。

  5. Salesforceから収集した情報を入力してください。

    フィールド 説明
    証明書

    SAML 署名検証用に X.509 証明書をアップロードするには、次のいずれかを実行します。

    1. 証明書をアップロードするには、Select Certificates to upload をクリックします。
    2. X.509証明書を選択します。
    3. 開くをクリックします。
    4. オプションで、バックアップ証明書をロードするには、手順1〜3を繰り返します。

    もしくは次のようにできます:

    1. 証明書ファイルをドラッグ&ドロップします。
    2. オプションで、バックアップ証明書を読み込むには、最初のステップを繰り返します。

    アップロードされた証明書は、有効期限付きで表示されます。 証明書を削除するには、X をクリックします。

     メモ:  

    発行者URI Salesforceドメイン名(https://)を入力してくださいyourID.my.salesforce.com)
    宛先 URI Salesforceアプリページで、SP-Initiated Redirect Endpointとラベルされた URL を入力してください。
    シングル ログアウト URI Salesforceアプリページで、SP-Initiated Redirect Endpointとラベルされた URL を入力してください。
    シングル ログアウト バインディング HTTPリダイレクトを選択します。
    証明書利用者 ID Salesforce アプリのページに、Entity ID として指定した一意の識別子を追加します。 
  6. 保存するをクリックします。