Microsoft ADFS를 Single Sign-On 공급자로 추가

전제 조건:
  • Single Sign-On > 공급자 > 추가, 삭제, 편집, 보기 권한
  • 조직의 ADFS 계정에서 관리자 역할
  • 사용자 이메일 주소는 ADFS와 Genesys Cloud 모두에서 동일합니다.
  • SAML 2.0을 지원하는 모든 Microsoft ADFS 버전. 버전에 따라 구성에 약간의 차이가 있습니다.

Genesys Cloud를 조직 구성원이 Microsoft ADFS 계정에 대한 자격 증명으로 액세스할 수 있는 애플리케이션으로 추가합니다.

메모:
  • Genesys Cloud는 SSO(Single Sign-On) 타사 ID 공급자에 대한 어설션 암호화를 지원하지 않습니다. Genesys Cloud 로그인 서비스에는 TLS(전송 계층 보안)가 필요합니다. 채널이 암호화되어 있으므로 메시지의 일부를 암호화할 필요가 없습니다.
  • 관리자는 선택적으로 기본 Genesys Cloud 로그인을 비활성화하고 SSO 공급자만 사용하여 인증을 시행할 수 있습니다. 자세한 내용은 SSO로만 인증하도록 Genesys Cloud 구성.
  •  

  • 서비스 제공자(SP)가 ID 제공자(IdP)로부터 SAML 응답을 수신하고 시스템 시계가 동기화되지 않은 경우 일반적인 문제가 있습니다. 이 문제로 인해 사용자가 로그인할 때 싱글 사인온에서 잠길 수 있습니다. 문제는 SP와 IdP 사이의 클럭 스큐 길이로 인해 발생할 수 있습니다. Genesys Cloud와 ID 제공자 간의 클록 스큐는 10초를 초과할 수 없습니다.

  • Genesys Cloud 데스크톱 앱은 브라우저 확장 프로그램 설치를 지원하지 않습니다. 브라우저 확장이 필요한 Azure 조건부 액세스 정책을 구성한 경우 Microsoft Entra ID 확장이 설치된 Genesys Cloud 지원 브라우저를 사용해야 합니다. 이 구성에서는 Single Sign-On이 데스크톱 앱을 사용하여 작동하지 않습니다.

Microsoft ADFS 구성

ADFS 구성용 인증서 가져오기

  1. Genesys Cloud에서 관리자.
  2. 통합에서 싱글 사인온.
  3. 클릭 ADFS/Azure AD(프리미엄) 탭.
  4. 아래에 Genesys 클라우드 서명 인증서, 클릭 인증서 다운로드.
  5. 흐름을 저장합니다.

신뢰 당사자 트러스트 추가

  1. 이동 관리 도구 > 광고 FS
  2. 콘솔 트리에서 다음으로 이동합니다. AD FS > 트러스트 관계 > 신뢰 당사자 트러스트.
  3. 마법사를 열려면 신뢰 당사자 트러스트 추가를 클릭합니다.
  4. 데이터 소스 선택 페이지에서 수동으로 회신자에 대한 데이터 입력을 클릭합니다.
  5. 표시 이름 지정 페이지에서 응답 당사자(즉, Genesys Cloud)의 이름을 입력합니다.
  6. 프로필 선택 페이지에서 AD FS 프로필을 클릭하여 SAML을 선택합니다.
  7. 인증서 구성 페이지를 건너뜁니다.
  8. URL 구성 페이지에서 다음 단계를 수행합니다.
    1. 딸깍 하는 소리 SAML 2.0 WebSSO 프로토콜 지원 활성화.

    2. 확인란 아래의 필드에 AWS 리전을 기반으로 하는 Genesys Cloud 조직의 다음 URL을 입력합니다.

      AWS 리전

      URL
      미국 동부(N. 버지니아

      https://login.mypurecloud.com/saml
      미국 동부 2(오하이오) https://login.use2.us-gov-pure.cloud/saml
      미국 서부(오레곤)

      https://login.usw2.pure.cloud/saml 
      캐나다(캐나다 중부)

      https://login.cac1.pure.cloud/saml
      남아메리카(상파울루)

      https://login.sae1.pure.cloud/saml
      EMEA(프랑크푸르트)

      https://login.mypurecloud.de/saml
      EMEA(아일랜드)

      https://login.mypurecloud.ie/saml 
      EMEA(런던)

      https://login.euw2.pure.cloud/saml
      EMEA(UAE)

      https://login.mec1.pure.cloud/saml
      EMEA(취리히)

      https://login.euc2.pure.cloud/saml
      아시아 태평양(뭄바이)

      https://login.aps1.pure.cloud/saml
      아시아 태평양(서울)

      https://login.apne2.pure.cloud/saml 
      아시아 태평양(시드니)

      https://login.mypurecloud.com.au/saml
      아시아 태평양(도쿄)

      https://login.mypurecloud.jp/saml
      아시아 태평양(오사카) https://login.apne3.pure.cloud/saml
  9. 식별자 구성 페이지에서 신뢰 당사자 트러스트 식별자 값을 입력합니다. 값은 신뢰 당사자 트러스트를 식별하는 데 사용할 고유 문자열일 수 있습니다. 페더레이션 서비스에 대한 요청에서 신뢰 당사자를 식별할 때 AD FS는 접두사 일치 논리를 사용하여 AD FS 구성 데이터베이스에서 일치하는 당사자 트러스트를 결정합니다.
  10. 지금 다단계 인증 구성 페이지에서 MFA 구성 여부를 선택합니다.
    참고: 이 문서에서는 MFA를 구성하는 절차를 다루지 않습니다.
  11. 다른 모든 설정은 기본값으로 두고 다음을 클릭합니다. 닫다.
  12. 신뢰 당사자 트러스트 페이지에서 이전 절차에서 생성한 트러스트를 마우스 오른쪽 버튼으로 클릭하고 클레임 규칙 편집.
  13. 에서 끝점 탭, 클릭 SAML 추가.
  14. 을위한 엔드포인트 유형, 선택하다 SAML 로그아웃.
    AWS 리전 URL
    미국 동부(N. 버지니아 https://login.mypurecloud.com/saml/logout
    미국 동부 2(오하이오) https://login.use2.us-gov-pure.cloud/saml/logout
    미국 서부(오레곤) https://login.usw2.pure.cloud/saml/logout 
    캐나다(캐나다 중부) https://login.cac1.pure.cloud/saml/logout 
    남아메리카(상파울루) https://login.sae1.pure.cloud/saml/logout 
    EMEA(프랑크푸르트) https://login.mypurecloud.de/saml/logout
    EMEA(아일랜드) https://login.mypurecloud.ie/saml/logout 
    EMEA(런던) https://login.euw2.pure.cloud/saml/logout
    EMEA(UAE) https://login.mec1.pure.cloud/saml/logout
     EMEA (Zurich) https://login.euc2.pure.cloud/saml/logout
    아시아 태평양(뭄바이) https://login.aps1.pure.cloud/saml/logout
    아시아 태평양(서울) https://login.apne2.pure.cloud/saml/logout 
    아시아 태평양(시드니) https://login.mypurecloud.com.au/saml/logout
    아시아 태평양(도쿄) https://login.mypurecloud.jp/saml/logout
    아시아 태평양(오사카) https://login.apne3.pure.cloud/saml/logout
  15. 딸깍 하는 소리 좋아요.
  16. 에서 서명 탭, 클릭 추가하다.
  17. 'ADFS 구성용 인증서 가져오기'의 5단계에서 저장한 인증서를 선택하고 열기를 클릭합니다.
  18. 딸깍 하는 소리 좋아요.

클레임 규칙 추가

세 가지 클레임 규칙을 추가합니다. 이메일, NameID에 이메일 및 조직 이름.

  1. 신뢰 당사자 트러스트 페이지에서 이전 절차에서 생성한 트러스트를 마우스 오른쪽 버튼으로 클릭하고 클레임 규칙 편집.
  2. 이메일 규칙 추가:
    1. 딸깍 하는 소리 규칙 추가

    2. 다음 설정으로 클레임 규칙을 구성합니다.

      속성 설명
      클레임 규칙 템플릿 선택하다 LDAP 속성을 클레임으로 보내기.
      클레임 규칙 이름 유형 이메일.
      속성 저장소 선택하다 액티브 디렉토리.
      LDAP 속성 선택하다 이메일 주소.
      나가는 클레임 유형 선택하다 이메일 주소.
    3. 딸깍 하는 소리 마치다.
  3. NameID 규칙에 이메일 추가:
    1. 딸깍 하는 소리 규칙 추가.

    2. 다음 설정으로 클레임 규칙을 구성합니다.

      속성 설명
      클레임 규칙 템플릿 선택하다 들어오는 클레임 변환.
      클레임 규칙 이름 유형 NameID로 이메일 보내기.
      들어오는 클레임 유형 선택하다 이메일 주소.
      나가는 클레임 유형 선택하다 이름 ID.
      발신 이름 ID 형식 선택하다 임시 식별자.
      모든 클레임 통과 선택하다 모든 클레임 통과.

    3. 딸깍 하는 소리 마치다.

  4. 조직 이름 규칙을 추가합니다.

    1. 딸깍 하는 소리 규칙 추가.

    2. 다음 설정으로 클레임 규칙을 구성합니다.

      속성 설명
      클레임 규칙 템플릿 선택하다 사용자 지정 규칙을 사용하여 클레임 보내기.
      클레임 규칙 이름 유형 조직 이름.
      맞춤 규칙

      다음 텍스트를 입력하고 바꾸세요.OrgName Genesys Cloud 조직의 약어를 입력합니다. 조직 이름은 대소문자를 구분합니다.  

      => issue(Type = "OrganizationName", Value = "OrgName");
    3. 딸깍 하는 소리 마치다.
  5. 발급 변환 규칙 탭에서 규칙이 다음 순서로 되어 있는지 확인합니다.
    1. 이메일
    2. NameID로 이메일 보내기
    3. 조직 이름

SAML 속성

다음 SAML 속성이 어설션에 있는 경우 Genesys Cloud는 해당 속성에 대해 작동합니다. 속성은 대소문자를 구분합니다. 

속성 이름 속성 이름
조직 이름 
  • ID 공급자가 시작한 싱글 사인온의 경우: 조직의 짧은 이름을 사용합니다.
  • 서비스 공급자가 시작한 싱글 사인온의 경우: 조직 이름은 선택한 조직과 일치해야 합니다. 조직이 단일 ID 공급자를 사용하여 여러 Genesys Cloud 조직을 유지 관리하는 경우에 적용됩니다. 
email  인증할 Genesys Cloud 사용자의 이메일 주소입니다.
  • 기존 Genesys Cloud 사용자여야 합니다.
  • ID 제공자가 이메일 주소를 제목 NameID로 사용하지 않는 경우 유효한 이메일 주소가 필요합니다.
서비스 이름 

인증 성공 후 리디렉션될 브라우저의 유효한 URL 또는 다음 키워드 중 하나:

  • 디렉토리(Genesys Cloud Collaborate 클라이언트로 리디렉션)
  • directory-admin(Genesys Cloud Admin UI로 리디렉션)

Genesys Cloud 구성에 대한 인증서 가져오기

  1. 콘솔 트리에서 다음으로 이동합니다. ADFS > 서비스 > 인증서.
  2. 토큰 서명 아래의 인증서를 마우스 오른쪽 버튼으로 클릭하고 인증서 보기.
  3. 클릭 세부 탭 및 클릭 파일로 복사.
  4. 내보내기 파일 형식의 경우 Base-64로 인코딩된 X.509(.CER).
  5. 파일 이름에 대해 다음 단계를 수행합니다.
    1. 딸깍 하는 소리 검색.
    2. 파일 이름을 입력합니다.
    3. 딸깍 하는 소리 구하다.
  6. 딸깍 하는 소리 마치다.

Genesys Cloud 구성에 대한 메타데이터 가져오기

메타데이터 파일에는 Genesys Cloud 구성을 위한 발급자(entityID)와 리디렉션 URL이 포함되어 있습니다.

  1. 콘솔 트리에서 다음으로 이동합니다. ADFS > 서비스 > 끝점.
  2. FederationMetadata.xml이라는 파일로 이동하여 다운로드합니다.

인증 방법 선택:

익스트라넷 및 인트라넷에서 Genesys Cloud 로그인을 위한 인증 방법을 선택합니다.

  1. 콘솔 트리에서 다음으로 이동합니다. ADFS > 인증 정책.
  2. 기본 인증 > 전역 설정에서 편집하다.
  3. 엑스트라넷에서 확인 양식 인증.
  4. 인트라넷에서 확인 양식 인증 그리고 윈도우 인증.
  5. 딸깍 하는 소리 좋아요.

Genesys 클라우드 구성

  1. Genesys Cloud에서 관리자.
  2. 통합에서 싱글 사인온.
  3. 클릭 ADFS/Azure AD(프리미엄) 탭.

  4. Microsoft ADFS에서 수집한 ID 공급자 메타데이터를 입력합니다.

    필드 설명
    인증서

    To upload X.509 certificates for SAML signature validation, do one of the following.

    1. To upload a certificate, click Select Certificates to upload.
    2. Select the X.509 certificate.
    3. 딸깍 하는 소리 열려있는.
    4. 선택적으로 백업 인증서를 로드하려면 1-3단계를 반복합니다.

    Or you can:

    1. Drag and drop your certificate file.
    2. Optionally, to load a backup certificate, repeat the first step.

    업로드된 인증서는 만료 날짜와 함께 표시됩니다. 인증서를 제거하려면 엑스.

    참고:

    발급자 URI FederationMetadata.xml 파일의 entityID를 입력합니다.
    타겟 URI

    찾아보세요 싱글사인온서비스 FederationMetadata.xml 파일에 Binding이 “urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect”와 같은 태그를 추가합니다. 예를 들어: <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”>

    "위치" 속성에 포함된 URL을 사용하세요. 예를 들어: https://your-adfs.com/adfs/ls
    단일 로그아웃 URI

    예를 들어, FederationMetadata.xml 파일에서 Binding이 "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"와 같은 SingleLogoutService 태그를 찾습니다. <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-adfs.com/adfs/ls”>

    "위치" 속성에 포함된 URL을 사용하세요. 예를 들어: https://your-adfs.com/adfs/ls
    단일 로그아웃 바인딩 선택하다 HTTP 리디렉션.
    신뢰 당사자 식별자 신뢰 당사자 트러스트를 추가할 때 구성한 고유 식별자를 추가합니다. 
  5. 딸깍 하는 소리 구하다.