Microsoft ADFS をシングル サインオン プロバイダーとして追加する


前提条件:
  • Integrations > Single Sign-on > Provider permission assigned to any PureCloud user role or PureCloud admin role
  • 組織の ADFS アカウントの管理者の役割
  • User email addresses are the same in both ADFS and PureCloud

PureCloud を、Microsoft ADFS に対する資格情報を持つ組織メンバーがアクセスできるアプリケーションとして追加します。

Microsoft ADFS を構成する

証明書利用者トラストを追加する

  1. [管理ツール] > [AD FS] に移動します。 
  2. コンソール ツリーで、[AD FS] > [信頼できる関係] > [証明書利用者トラスト] に移動します。
  3. [証明書利用者トラストを追加] をクリックしてウィザードを起動します。
  4. [プロファイルを選択] 画面で [AD FS] プロファイルをクリックして SAML を選択します。
  5. [Configure URL (URL を設定)] 画面で、次の手順を実行します。
    1. [Enable support for SAML 2.0 WebSSO protocol (SAML 2.0 WebSSO プロトコルのサポートを有効にする)] をクリックします。
    2. チェックボックスの下のフィールドに、PureCloud の組織が作成された地域に基づいて、次の URL を入力します。

      地域

      URL

      南北アメリカ大陸

      https://login.mypurecloud.com/saml

      アジア太平洋 (シドニー)

      https://login.mypurecloud.com.au/saml

      アジア太平洋 (東京)

      https://login.mypurecloud.jp/saml

      EMEA (ヨーロッパ・中東・アフリカ)

      https://login.mypurecloud.ie/saml

  6. [Configure Identifiers (ID を設定)] 画面で、証明書利用者トラスト ID の値を入力します。値は、証明書利用者トラストを特定するのに使用する固有の文字列ならばどれでも構いません。フェデレーション サービスへの要求で証明書利用者が特定されると、AD FS はプレフィックスの一致ロジックを使用して一致する利用者トラストが AD FS 構成データベースに存在するかどうかを判定します。
  7. その他の設定をデフォルトのままにして、[閉じる] をクリックします。

クレーム ルールを追加する

クレーム ルールを 3 つ追加する必要があります:メール、NameID へのメール、および組織名

  1. [Relying Party Trusts (証明書利用者トラスト)] ページで、前の手順で作成したトラストを右クリックして [Edit Claim Rules (クレーム ルールの編集)] を選択します。
  2. メール ルールを追加する:
    1. [ルールを追加] をクリックします。 
    2. 次の設定でクレーム ルールを設定します:

      このプロパティの場合 入力情報
      クレーム ルールのテンプレート [Send LDAP Attributes as Claims (LDAP 属性をクレームとして送信)] を選択します。
      クレーム ルール名 Eメールを入力。
      属性 store [Active Directory] を選択します。
      LDAP 属性 [電子メール アドレス] を選択します。
      発信クレーム タイプ [電子メール アドレス] を選択します。
    3. [終了] をクリックします。
  3. メールを NameID ルールに追加します:
    1. [ルールを追加] をクリックします。
    2. 次の設定でクレーム ルールを設定します:

      このプロパティの場合 入力情報
      クレーム ルールのテンプレート [Transform an Incoming Claim (着信クレームを変換)] を選択します。
      クレーム ルール名 メールを NameID に入力します。
      着信クレーム タイプ [電子メール アドレス] を選択します。
      発信クレーム タイプ [名前 ID] を選択します。
      発信名 ID の形式 [一時的な ID] を選択します。
      すべてのクレームを通過させる [Pass through all claims (すべてのクレームを通過させる)] を選択します。
    3. [終了] をクリックします。

  4. 組織名のルールを追加します:

    1. [ルールを追加] をクリックします。
    2. 次の設定でクレーム ルールを設定します:

      このプロパティの場合 入力情報
      クレーム ルールのテンプレート [Send Claims Using a Custom Rule (カスタム ルールを使用してクレームを送信)] を選択します。
      クレーム ルール名 [組織名] を入力します。
      カスタム ルール

      次のテキストを入力して、OrgName を自分の PureCloud 組織の名前で置き換えます。組織名では大文字と小文字が区別されます。  

      => issue(Type = "OrganizationName", Value = "OrgName");
    3. [終了] をクリックします。
  5. [Issuance Transform Rules (発行変換ルール)] タブで、ルールが次の順であることを確認します:
    1. メール
    2. NameID へのメール
    3. 組織名

PureCloudの設定のための証明書を取得する

    1. In the console tree, go to AD FS > ServiceCertificates.
    2. トークン署名の下にある証明書を右クリックして、[View Certificate (証明書の表示)] を選択します。
    3. [詳細] タブをクリックして、[ファイルにコピー] をクリックします。
    4. エクスポート ファイル形式には、[ Base-64 encoded X.509 (.CER)] を選択します。
    5. ファイル名については、次の手順に従います:
      1. [参照] をクリックします。
      2. ファイル名を入力します。
      3. 保存をクリックします。
    6. [終了] をクリックします。
    7. プレーンテキスト エディターで証明書ファイルを開いて次の手順に従います:
      1. -----BEGIN CERTIFICATE------」 と「 ------END CERTIFICATE-----」という行を削除します。
      2. 証明書ファイルを保存します。

PureCloud 構成のメタデータを取得する

メタデータ ファイルには、発行元 (entityID) と PureCloud を構成するためのリダイレクト URL が含まれています。

    1. In the console tree, go to AD FS >  Service > Endpoints.
    2. FederationMetadata.xml というファイルを見つけてダウンロードします。

Select authentication methods

Select the authentication methods for logging into PureCloud on the extranet and the intranet.

    1. In the console tree, go to AD FS > Authentication Policies.
    2. Under Primary Authentication > Global Settings, click Edit.
    3. Under Extranet, check Forms Authentication.
    4. Under Intranet, check Forms Authentication and Windows Authentication.
    5. [OK] をクリックします。

PureCloud を設定

    1. PureCloudの 管理をクリック
    2. 統合の下の シングル サインオンをクリック。
    3. [ADFS/Azure AD (Premium)] タブをクリックします。
    4. Microsoft ADFS から収集されたユーザー情報プロバイダーのメタデータを入力します。

      このフィールドでは... 入力情報
      証明書

      1.[参照] をクリックします。
      2.保存した証明書を選択して [開く] をクリックします。

      発行元 URI FederationMetadata.xml ファイルからの entityID を入力します。
      宛先 URI FederationMetadata.xml ファイルからのリダイレクト URL を入力します。
      第三者証明書の ID 証明利用者トラストを追加するときに、設定されている固有の ID を追加します。
    5. 保存をクリックします。