Ajouter OneLogin en tant que fournisseur de connexion unique

Conditions préalables
  • Authentification unique> Fournisseur> Ajouter, supprimer, modifier, afficherautorisations
  • Admin rôle dans le compte OneLogin de votre organisation
  • Authentification unique (SSO) OneLogin Desktop indisponible
  • Les adresses email des utilisateurs sont les mêmes dans OneLogin et Genesys Cloud

Ajoutez Genesys Cloud en tant application laquelle les membres de l’organisation peuvent accéder avec les informations d’identification de leur compte OneLogin.

Remarques:
  • PureCloud ne prend pas en charge le cryptage d’assertion pour les fournisseurs d’identité authentification unique Third-participant. Le service de connexion PureCloud nécessite TLS (Transport Layer Security). Le canal étant crypté, il n’est pas nécessaire de chiffrer des parties du message.
  • Les administrateurs peuvent éventuellement désactiver la connexion par défaut PureCloud et appliquer l’authentification aide d’un fournisseur SSO uniquement. Pour plus d’informations, consultezConfigurer Genesys Cloud pour s’authentifier uniquement avec SSO.
  • Les administrateurs peuvent choisir de stocker quatre certificats supplémentaires pour assurer la continuité des activités. Si un certificat devient invalide ou expire, l'intégration est préservée si l'un des certificats supplémentaires est valide. 
  • Il y a un problème général lorsqu'un fournisseur de services (SP) reçoit une réponse SAML d'un fournisseur d'identité (IdP) et que les horloges de leurs systèmes ne sont pas synchronisées. Ce problème peut entraîner le blocage de l'accès à l'authentification unique lors de la connexion des utilisateurs. Le problème peut être causé par la longueur du décalage d'horloge entre le SP et l'IdP. Les décalages d'horloge entre Genesys Cloud et votre fournisseur d'identité ne peuvent pas être supérieurs à 10 secondes.

  • L'application de bureau Genesys Cloud ne prend pas en charge l'installation d'extensions de navigateur. Si vous avez configuré une politique d'accès conditionnel Azure qui nécessite une extension de navigateur, vous devrez utiliser un navigateur compatible avec Genesys Cloud dans lequel l'extension Microsoft Entra ID est installée. L'authentification unique ne fonctionnera pas avec l'application de bureau dans cette configuration.

Configurez OneLogin

Créer un SAMLapplication

  1. Ajoutez l’application OneLogin appelée Connecteur de test SAML (ldP).
  2. Dans la page de l’application, cliquez sur le bouton Configuration languette. 
  3. Remplissez les champs suivants et laissez les champs restants vides.

    Champ Description
    Public (ID entité)

    Saisissez une valeur utilisée pour identifier votre organisation auprès du fournisseur d'identité, c'est-à-dire « genesys.cloud.my-org ».

    Valideur d'URL ACS (consommateur)

    Saisissez l'URL de votre organisation Genesys Cloud pour la région AWS :

    US East (N. Virginia): ^https:\/\/login\.mypurecloud\.com\/saml
    US East 2 (Ohio): ^https:\/\/login\.use2.us-gov-pure\.cloud\/saml
    US West (Oregon): ^https:\/\/login\.usw2\.pure\.cloud\/saml
    Canada (Canada Central): ^https:\/\/login\.cac1\.pure\.cloud\/saml
    South America (São Paulo): ^https:\/\/login\.sae1\.pure\.cloud\/saml
    EU (Frankfurt): ^https:\/\/login\.mypurecloud\.de\/saml
    EU (Ireland): ^https:\/\/login\.mypurecloud\.ie\/saml
    EU (London): ^https:\/\/login\.euw2\.pure\.cloud\/saml
    Asia Pacific (Mumbai): ^https:\/\/login\.aps1\.pure\.cloud\/saml
    Asia Pacific (Seoul): ^https:\/\/login\.apne2\.pure\.cloud\/saml
    Asia Pacific (Sydney): ^https:\/\/login\.mypurecloud\.com\.au\/saml
    Asia Pacific (Tokyo): ^https:\/\/login\.mypurecloud\.jp\/saml

    URL de l'ACS (consommateur)

    Type the URL of your Genesys Cloud organization for the AWS region:
    US East (N. Virginia): https://login.mypurecloud.com/saml
    US East 2 (Ohio): https://login.use2.us-gov-pure.cloud/saml
    US West (Oregon): https://login.usw2.pure.cloud/saml
    Canada (Canada Central): https://login.cac1.pure.cloud/saml
    South America (São Paulo): https://login.sae1.pure.cloud/saml
    EU (Frankfurt): https://login.mypurecloud.de/saml
    EU (Ireland): https://login.mypurecloud.ie/saml
    EU (London): https://login.euw2.pure.cloud/saml
    Asia Pacific (Mumbai): https://login.aps1.pure.cloud/saml
    Asia Pacific (Seoul): https://login.apne2.pure.cloud/saml
    Asia Pacific (Sydney): 
    https://login.mypurecloud.com.au/saml
    Asia Pacific (Tokyo): https://login.mypurecloud.jp/saml

    URI de déconnexion unique

    Saisissez l'URL de votre organisation Genesys Cloud pour la région AWS :

    US East (N. Virginia): https://login.mypurecloud.com/saml/logout
    US East 2 (Ohio): https://login.use2.us-gov-pure.cloud/saml/logout
    US West (Oregon):
    https://login.usw2.pure.cloud/saml/logout
    Canada (Canada Central): https://login.cac1.pure.cloud/saml/logout
    South America (São Paulo): https://login.sae1.pure.cloud/saml/logout
    EU (Frankfurt): https://login.mypurecloud.de/saml/logout
    EU (Ireland): https://login.mypurecloud.ie/saml/logout
    EU (London): https://login.euw2.pure.cloud/saml/logout
    Asia Pacific (Mumbai): https://login.aps1.pure.cloud/saml/logout
    Asia Pacific (Seoul): https://login.apne2.pure.cloud/saml/logout
    Asia Pacific (Sydney): 
    https://login.mypurecloud.com.au/saml/logout
    Asia Pacific (Tokyo): https://login.mypurecloud.jp/saml/logout

    Signer la demande d'ALS

    Cochez la case…

    Signer la réponse SLO

    Cochez la case…

  4. Cliquez sur l'onglet Paramètres.
  5. Cliquez sur Ajouter un paramètre.
  6. Remplissez les champs suivants. 
    Champ Description
    Nom Type Nom de l’organisation.
    Drapeaux Vérifier Inclure dans l’assertion SAML.
  7. Cliquez sur Sauvegarder. 
  8. Cliquez sur le nouveau créé Nom de l'organisation paramètre.
  9. Dans le champ Valeur :
    1. Dans la liste, sélectionnez Macro.
    2. Tapez le nom abrégé de votre organisation Genesys Cloud. Si vous ne connaissez pas le nom abrégé de votre organisation, cliquez sur Admin > Paramètres du compte > Paramètres de l'organisation dans Genesys Cloud. 
  10. Cliquez sur Sauvegarder. 

Attributs SAML

Si les attributs SAML supplémentaires suivants sont présents dans l'assertion, Genesys Cloud agit sur les attributs. Les attributs sont sensibles à la casse. 

Nom de l'attribut Valeur de l'attribut
email  L'adresse e-mail de l'utilisateur Genesys Cloud doit être authentifiée.
  • Doit être un utilisateur Genesys Cloud existant.
  • Si le fournisseur d'identité n'utilise pas d'adresse e-mail comme objet NameID, vous avez besoin d'une adresse e-mail valide.
Nom du service 

Une URL valide vers laquelle le navigateur doit être redirigé après une authentification réussie, ou l'un des mots clés suivants :

  • répertoire (redirige vers le client Genesys Cloud Collaborate )
  • directory-admin (redirige vers l’interface utilisateur Genesys Cloud Admin)

Obtenir le certificat pour la configuration PureCloud

  1. Cliquez sur l'onglet SSO.
  2. Sous Certificat, cliquez sur Voir les détails.
  3. Sous le certificat X.509, sélectionnez "X.509 PEM" et cliquez sur Télécharger.
  4. Enregistrez le certificat dans un fichier texte.

Obtenez les métadonnées pour la configuration Genesys Cloud

Remarque :  PureCloud prend en charge le SAML de redirection http URL seulement. L’onglet SSO OneLogin n’affiche plus cette URL par par défaut dans le champ SAML 2.0 Endpoint (HTTP). (Il affiche maintenant l’URL http-post à la place.) Cependant, l’URL de redirection http est toujours disponible dans le fichier de métadonnées SAML.
  1. Cliquez sur l'onglet SSO.
  2. Copiez les métadonnées suivantes nécessaires à la configuration de PureCloud dans un fichier texte. 
    Champ Description
    URL de l’émetteur Copiez l’URL du URL de l’émetteur champ.
    SAML 2.0 Endpoint (HTTP)
    1. Sous Plus d’actions, cliquez sur Métadonnées SAML.
    2. Téléchargez et ouvrez le fichier de métadonnées SAML.
    3. Find the SingleSignOnService tag with Binding equal to “urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect,” for example:  <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-organization/onelogin.com/trust/saml2/http-redirect/sso/123456>
    4. Copy the URL following “Location =,” for example:
      https://your-organization/onelogin.com/trust/saml2/http-redirect/sso/123456
    Point de terminaison SLO (HTTP) Copiez l'URL du champ Point de terminaison SLO (HTTP).

Configurer Genesys Cloud

  1. Dans Genesys Cloud, cliquez surAdministrateur.
  2. Sous Intégrations, cliquez sur Authentification unique.
  3. Cliquez sur l'onglet OneLogin.
  4. Entrez les informations recueillies lors de la procédure précédente :
    Champ Description
    Certificat

    Pour télécharger des certificats X.509 pour la validation de la signature SAML, effectuez l'une des opérations suivantes.

    1. Pour télécharger un certificat, cliquez sur Sélectionnez les certificats à télécharger.
    2. Sélectionnez le certificat X.509.
    3. Cliquez sur Ouvert.
    4. Facultativement, pour charger un certificat de sauvegarde, répétez les étapes 1 à 3.

    Ou vous pouvez :

    1. Faites glisser et déposez votre fichier de certificat.
    2. Si vous souhaitez charger un certificat de sauvegarde, répétez la première étape.

    Les certificats téléchargés apparaissent avec leur date d'expiration. Pour supprimer un certificat, cliquez sur X.

    Remarque :  Pour renouveler ou mettre à jour un certificat arrivant à expiration, suivez ces instructions pour télécharger des certificats X.509, en répétant les étapes 1 à 3. Vous pouvez télécharger jusqu'à cinq certificats dans Genesys Cloud par configuration SSO, et Genesys Cloud choisit le certificat correct lors de l'authentification unique et de la déconnexion.

    URI de l'émetteur OneLogin Tapez l’URL du champ URL de l’émetteur dans OneLogin.
    URL cible

    Saisissez l'URL du champ Point de terminaison SAML 2.0 (HTTP). 

    URI de déconnexion unique

    Saisissez l'URL du champ Point de terminaison SLO (HTTP) dans OneLogin.

    Liaison de déconnexion unique Sélectionnez Redirection HTTP.
    Public (ID entité)  Tapez la valeur OneLogin Audience (EntityID). Assurez-vous que cette valeur est la même dans Genesys Cloud et OneLogin. 
  5. Cliquez sur Sauvegarder.