シングルサインオンプロバイダとしてPing IDを追加する

前提条件:
  • Single Sign-on > Provider > Add, Delete, Edit, View 権限
  • 組織のPing Identityアカウントにおける管理者ロール
  • ユーザーの電子メールアドレスは、Ping IdentityとGenesys Cloudの両方で同じです

Genesys Cloudをアプリケーションとして追加し、組織メンバーがPing Identityアカウントの認証情報を使用してアクセスできるようにします。

メモ: 
  • Genesys Cloudは、シングル サインオンのサードパーティIDプロバイダーのアサーション暗号化をサポートしていません。 Genesys Cloudログインサービスには、TLS(Transport Layer Security)が必要です。 チャネルは暗号化されているので、メッセージの一部を暗号化する必要はありません。
  • 管理者はオプションで、デフォルトのGenesys Cloudログインを無効にし、SSOプロバイダのみを使用して認証を強制できます。 詳細については、SSOのみで認証するようにGenesys Cloudを設定するを参照してください。
  •  

  • サービスプロバイダ(SP)がアイデンティティプロバイダ(IdP)からSAML応答を受信する際、そのシステムクロックが同期していない場合、一般的な問題がある。 この問題により、ユーザーがログインする際に、シングルサインオンからロックアウトされる可能性があります。 この問題は、SPとIdP間のクロックスキューの長さに起因している可能性がある。 Genesys Cloudとお客様のIDプロバイダー間のクロックスキューは10秒を超えることはできません。

  • Genesys Cloud デスクトップ アプリは、ブラウザ拡張機能のインストールをサポートしていません。ブラウザ拡張機能を必要とする Azure 条件付きアクセス ポリシーを構成している場合は、Microsoft Entra ID 拡張機能がインストールされている Genesys Cloud 対応ブラウザを使用する必要があります。この構成では、デスクトップ アプリを使用したシングル サインオンは機能しません。

Ping Identityを設定します。

カスタムGenesys Cloudアプリケーションの作成

  1. PingIdentityで、をクリックします 接続 >> アプリケーション
  2. プラス記号をクリックします の隣に アプリケーション
  3. クリック Webアプリ をクリックします 構成、設定 SAMLオプションの場合。
  4. 「アプリケーション構成」画面で、 以下のフィールドに入力してください。残りのフィールドは空白のままにするか、デフォルト設定のままにします。
    フィールド 説明
    アプリケーション名 Genesys Cloudアプリケーション名を入力します。
    アプリケーションの説明 アプリケーションの簡単な説明を入力します。
  5. 「アプリケーション構成」画面で、 以下のフィールドに入力してください。残りのフィールドは空白のままにするか、デフォルト設定のままにします。
    フィールド 説明
    ACSのURL AWS リージョンの Genesys Cloud 組織の URL を入力します。
    米国東部(N.バージニア): https://login.mypurecloud.com/saml
    米国東部2:(オハイオ州): https://login.use2.us-gov-pure.cloud/saml
    米国西部(オレゴン):     https://login.usw2.pure.cloud/saml
    カナダ(カナダ中部): https://login.cac1.pure.cloud/saml
    南米(サンパウロ): https://login.sae1.pure.cloud/saml
    EU(フランクフルト): https://login.mypurecloud.de/saml
    EU(アイルランド): https://login.mypurecloud.ie/saml
    EU(ロンドン): https://login.euw2.pure.cloud/saml
    アジア太平洋(ムンバイ): https://login.aps1.pure.cloud/saml
    アジア太平洋(ソウル): https://login.apne2.pure.cloud/saml 
    アジア太平洋(シドニー):     https://login.mypurecloud.com.au/saml
    アジア太平洋(東京): https://login.mypurecloud.jp/saml
    署名鍵
    1. クリック 署名証明書をダウンロードする
    2. 選ぶ X509 PEM(.crt)
    3. ファイルを保存します。
    署名アルゴリズム 選択する RSA_SHA256
    エンティティ ID Genesys Cloud 組織を識別するために使用する一意の文字列を入力します。例:genesys.cloud.my-org
    SLOエンドポイント AWS リージョンの Genesys Cloud 組織の URL を入力します。
    米国東部(N.バージニア): https://login.mypurecloud.com/saml/logout
    米国東部2(オハイオ): https://login.use2.us-gov-pure.cloud/saml/logout
    米国西部(オレゴン):     https://login.usw2.pure.cloud/saml/logout
    カナダ(カナダ中部): https://login.cac1.pure.cloud/saml/logout
    南米(サンパウロ): https://login.sae1.pure.cloud/saml/logout
    EU(フランクフルト): https://login.mypurecloud.de/saml/logout
    EU(アイルランド): https://login.mypurecloud.ie/saml/logout
    EU(ロンドン): https://login.euw2.pure.cloud/saml/logout
    アジア太平洋(ムンバイ): https://login.aps1.pure.cloud/saml/logout
    アジア太平洋(ソウル): https://login.apne2.pure.cloud/saml/logout 
    アジア太平洋(シドニー):     https://login.mypurecloud.com.au/saml/logout
    アジア太平洋(東京): https://login.mypurecloud.jp/saml/logout
    SLOバインディング HTTPリダイレクトを選択します。
    件名ID形式 「urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress」を選択します。
    アサーションの有効期間(秒単位) SAML認証応答のアサーションが有効である期間を決定する値を入力します。 60秒で十分です。
  6. [SSO属性マッピング]画面で、これらの属性を追加します。

    属性 説明
    Eメール

    選択する 電子メールアドレス。
    組織名
    1. [属性] タブをクリックします。
    2. クリック 高度な表現
    3. の中に 表現 フィールドに、GenesysCloud組織の短い名前を引用符で囲んで入力します。 例:  「my-org-name」。
    4. クリック 保存する。 
    サービス名

    有効なURL ブラウザーに成功した後にリダイレクトする認証 、または次のキーワードのいずれか:

    • directory (Genesys Cloud Collaborateクライアントにリダイレクト)
    • directory-admin(Genesys Cloud Admin UIにリダイレクト)

    1. [属性] タブをクリックします。
    2. クリック 高度な表現
    3. の中に 表現 フィールドに、GenesysCloud組織の短い名前を引用符で囲んで入力します。 例:  "ディレクトリ"。
    4. クリック 保存する。 
  7. クリック 保存して公開

    Genesys Cloud設定のメタデータを取得する

    1. PingIdentityで、をクリックします 接続 >> アプリケーション
    2. Genesysクラウド用に作成されたアプリケーションを展開し、 構成 タブ。 Genesys Cloud設定に必要な次のIDプロバイダメタデータに注意してください。
      メタデータ 説明
      発行者ID Okta に使用 発行者URI Genesys Cloudで設定を行います。
      シングルログアウトサービス への使用 ターゲットURI Genesys Cloudで設定を行います。
      シングルサインオンサービス への使用 ターゲットURI Genesys Cloudで設定を行います。

    Genesysクラウドの設定

    1. Genesys Cloudで、管理をクリックします。
    2. 「統合」の下でシングル・サインオンをクリックします。
    3. クリック Ping Identity タブ。
    4. PingOneから収集したアイデンティティプロバイダのメタデータを入力します。
      フィールド 説明
      証明書

      SAML 署名検証用に X.509 証明書をアップロードするには、次のいずれかを実行します。

      1. 証明書をアップロードするには、Select Certificates to upload をクリックします。
      2. X.509証明書を選択します。
      3. 開くをクリックします。
      4. オプションで、バックアップ証明書をロードするには、手順1〜3を繰り返します。

      もしくは次のようにできます:

      1. 証明書ファイルをドラッグ&ドロップします。
      2. オプションで、バックアップ証明書を読み込むには、最初のステップを繰り返します。

      アップロードされた証明書は、有効期限付きで表示されます。 証明書を削除するには、X をクリックします。

       メモ:  

      発行者URI

      次のように入力します 発行者ID
      ターゲット URL

      次のように入力します シングルサインオンサービス 
      シングル ログアウト URI

      次のように入力します シングルログアウトサービス
      シングル ログアウト バインディング

      選択する HTTPリダイレクト
      証明書利用者 ID

      指定した一意の文字列を入力します エンティティID PingIdentityで。
    5. 保存するをクリックします。