Verband mit Okta verwalten

Okate ist nur einer der unterstützten externen Identitätsanbieter (IdPs), die Sie mit CXone verwenden können. Auf dieser Seite wird Schritt für Schritt beschrieben, wie Sie die Authentifizierung mit Okta für Ihr CXone-System einrichten.

Wenn Sie mit der Implementierung Ihres CXone-Systems beginnen, gibt es einige zusätzliche Schritte zu beachten. In den folgenden Themen der Onlinehilfe finden Sie Informationen zu diesen Überlegungen:

Führen Sie jede dieser Aufgaben in der angegebenen Reihenfolge aus.

Bevor Sie beginnen, vergewissern Sie sich, dass Sie Zugriff auf Okta haben. Sie müssen eine Anwendung erstellen.

Okta-Anwendung mit SAML 2.0 erstellen und konfigurieren

  1. Melden Sie sich bei Ihrem Okta-Verwaltungskonto an.
  2. Klicken Sie auf Menü "Anwendungen" > App-Integration erstellen.
  3. Wählen Sie SAML 2.0 als Methode aus, und klicken Sie auf Next (Weiter).
  4. Geben Sie den Namen ein, mit dem Sie diese Integration identifizieren möchten, und klicken Sie auf Weiter.
  5. SAML konfigurieren:
    1. Geben Sie eine Platzhalter-URL wie z. B. https://cxone.niceincontact.com/need_to_change in das Feld Single sign-On URL ein. Diesen Wert ändern Sie später zu der URL, die Sie noch erhalten.
    2. Geben Sie eine Platzhalter-URL wie z. B. https://cxone.niceincontact.com/need_to_change in das Feld Audience URI (Zielgruppen-URI) ein. Diesen Wert ändern Sie später zu der URI, die Sie noch erhalten.
    3. Geben Sie in Name ID format (Format der Namens-ID) und Application user name (Anwendungsbenutzername) an, wie Ihre Benutzer für CXone identifiziert werden sollen.
    4. Klicken Sie auf Erweiterte Einstellungen anzeigen.
    5. Ändern Sie Assertion-Signatur zu Nicht signiert. Belassen Sie Antwort bei Signiert.
    6. Achten Sie darauf, dass Assertion-Verschlüsselung auf Nicht verschlüsselt eingestellt ist.
  6. Klicken Sie auf Weiter, geben Sie Feedback ein und klicken Sie auf der Registerkarte "Feedback" auf Fertig stellen.
  7. Klicken Sie auf Anleitung für SAML-Einrichtung anzeigen, um einen neuen Tab zu öffnen, und führen Sie dann Folgendes aus:
    1. Klicken Sie auf Zertifikat herunterladen, um das Signaturzertifikat herunterzuladen. Bewahren Sie diese Datei für Ihre CXone-Konfiguration auf.
    2. Kopieren Sie die URL für Single Sign-On mit Identitätsanbieter. Bewahren Sie diese URL für Ihre CXone-Konfiguration auf.
    3. Schließen Sie die Registerkarte mit der Anleitung für die SAML-Einrichtung. Lassen Sie den Tab "SAML konfigurieren" geöffnet. Sie nehmen später Änderungen an Ihrer Konfiguration vor, die auf den CXone-Einstellungen basieren, die Sie als Nächstes erhalten.

CXone-Login-Authentifikator mit SAML 2.0 einrichten

Erforderliche Berechtigungen: Login-Authentifikator – Erstellen

  1. Klicken Sie auf den App-Selector und wählen SieAdmin.
  2. Klicken Sie auf Login-Authentifikator.
  3. Klicken Sie auf Neu erstellen.
  4. Geben Sie Name und Beschreibung des Login-Authentifikators ein.
  5. Wählen Sie SAML2 als Authentifizierungstyp aus.
  6. Geben Sie die URL für Single Sign-On mit Identitätsanbieter, die Sie von Okta erhalten haben, als Endpunkt-URL ein. Weitere Informationen finden Sie im letzten Schritt der vorherigen Aufgabe.
  7. Klicken Sie auf Datei auswählen und wählen Sie das öffentliche Signaturzertifikat aus, das Sie im vorherigen Task von Okta heruntergeladen haben. Dabei muss es sich um eine PEM-Datei handeln. Dies ist eine Textdatei, deren erste Zeile die Wörter BEGIN CERTIFICATE und weiteren Text enthält.
  8. Klicken Sie auf Speichern und aktivieren.
  9. Öffnen Sie den Login-Authentifikator.

  10. Sie sehen zwei zusätzliche, schreibgeschützte Felder: Einheits-ID und ACS-URL. Notieren Sie sich diese Werte. Sie benötigen diese für die Aufgabe "CXone-Werte zu Okta hinzufügen".

Okta-Anwendung mit OpenID Connect konfigurieren

  1. Melden Sie sich bei Ihrem Okta-Verwaltungskonto an.
  2. Klicken Sie auf Menü "Anwendungen" > App-Integration erstellen.
  3. Wählen Sie OIDC - OpenID Connect als Sign-in method (Anmeldemethode) aus.
  4. Wählen Sie Web Application (Webanwendung) als Application type (Anwendungstyp) aus, und klicken Sie auf Next (Weiter).
  5. Geben Sie in das Feld App integration name (Name der App-Integration) den gewünschten Namen für diese Integration ein.
  6. Sie müssen unter Sign-in Redirect URI eine Umleitungs-URI für die Anmeldung angeben, die Sie zu diesem Zeitpunkt noch nicht kennen. Verwenden Sie https://cxone.niceincontact.com/need_to_change als Platzhalter. Diesen Wert ändern Sie später zu der URI, die Sie noch erhalten.
  7. Sie müssen eventuell unter Sign-out Redirect URI eine Umleitungs-URI für die Abmeldung angeben, die Sie zu diesem Zeitpunkt noch nicht kennen. Verwenden Sie https://cxone.niceincontact.com/need_to_change als Platzhalter. Diesen Wert ändern Sie später zu der URI, die Sie noch erhalten.
  8. Wählen Sie in der Dropdown-Liste Controlled access (Kontrollierter Zugriff) die Option Skip group assignment for now (Gruppenzuweisung überspringen) aus.
  9. Klicken Sie auf Speichern.
  10. Wählen Sie auf der Registerkarte General (Allgemein) unter Client Credentials (Client-Zugangsdaten) die Option Client authentication (Client-Authentifizierung) aus.
  11. Wählen Sie eine der folgenden Authentifizierungsmethoden aus:
    1. client_secret_basic: Die Client-Zugangsdaten werden bei der Authentifizierung in einer einfachen Kopfzeile übergeben. Nach Auswahl dieser Methode konfigurieren Sie Folgendes:
      1. Wählen Sie für Client authentication (Client-Authentifizierung) die Option Client secret (Clientschlüssel) aus.
      2. Kopieren Sie die Werte für Client ID (Client-ID) und Client Secret (Clientschlüssel), und speichern Sie diese an einem sicheren Ort. Sie benötigen diese Werte bei der Konfiguration eines Login-Authentifikators in CXone.
    2. client_secret_post: Die Client-Zugangsdaten werden bei der Authentifizierung in einem Haupttext übergeben. Nach Auswahl dieser Methode konfigurieren Sie Folgendes:
      1. Wählen Sie für Client authentication (Client-Authentifizierung) die Option Client secret (Clientschlüssel) aus.
      2. Kopieren Sie die Werte für Client ID (Client-ID) und Client Secret (Clientschlüssel), und speichern Sie diese an einem sicheren Ort. Sie benötigen diese Werte bei der Konfiguration eines Login-Authentifikators in CXone.
    3. client_secret_jwt: Für die Client-Authentifizierung werden JWT-Bearer-Token verwendet. Nach Auswahl dieser Methode konfigurieren Sie Folgendes:
      1. Wählen Sie für Client authentication (Client-Authentifizierung) die Option Client secret (Clientschlüssel) aus.
      2. Kopieren Sie die Werte für Client ID (Client-ID) und Client Secret (Clientschlüssel), und speichern Sie diese an einem sicheren Ort. Sie benötigen diese Werte bei der Konfiguration eines Login-Authentifikators in CXone.
    4. private_key_jwt: Für die Client-Authentifizierung werden JWT-Bearer-Token verwendet. JWT wird vom privaten Clientschlüssel signiert, den Sie in einem späteren Schritt angeben. Nach Auswahl dieser Methode konfigurieren Sie Folgendes:
      1. Wählen Sie für Client authentication (Client-Authentifizierung) die Option Public key / Private key (Öffentlicher Schlüssel / Privater Schlüssel) aus.
      2. Geben Sie in das Feld Add public key (Öffentlichen Schlüssel hinzufügen) einen Platzhalter für den öffentlichen Schlüssel ein. Sie müssen den Platzhalter mit dem von CXone bereitgestellten Schlüssel ersetzen, wenn Sie Ihren Login-Authentifikator konfigurieren.
  12. Klicken Sie auf der Registerkarte "Assignments" (Zuweisungen) auf Assign (Zuweisen) und dann auf Assign to People (Zu Personen zuweisen).
  13. Weisen Sie dieser Anwendung Benutzer zu.

Login-Authentifikator mit OpenID Connect in CXone einrichten

  1. Klicken Sie auf den App-Selector und wählen SieAdmin

  2. Klicken Sie auf Login-Authentifikator.

  3. Klicken Sie auf Neu erstellen, oder wählen Sie den Login-Authentifikator aus, den Sie bearbeiten möchten.
  4. Geben Sie Name und Beschreibung des Login-Authentifikators ein.
  5. Wählen Sie OIDC als Authentifizierungstyp aus.

  6. Wenn Sie festlegen möchten, dass Benutzer sich nur von einer bestimmten IP-Adresse anmelden können, wählen Sie den Standort aus, den Sie im vorherigen Abschnitt eingerichtet haben.

  7. Wenn Sie einen Erkennungsendpunkt für Okta haben, klicken Sie auf Einstellungen erkennen. Geben Sie Ihren Erkennungsendpunkt ein und klicken Sie auf Entdecken. Die restlichen Felder werden für Sie ausgefüllt. Einstellungen erkennen funktioniert nicht mit Salesforce-Erkennungsendpunkten.
  8. Geben Sie Ihr Client-ID und Client-Passwort. Geben Sie das Passwort erneut ein Client-Passwort bestätigen. Die Client-Kennung ist die Ihrem Konto von Okta zugewiesene Anmelde-ID.

  9. Wenn Sie keinen Erkennungsendpunkt für Okta haben, geben Sie die von Okta bereitgestellten Werte für Aussteller, JsonWebKeySet-Endpunkt, Autorisierungsendpunkt, Token-Endpunkt, UserInfo-Endpunkt und Sperrungs-Endpunkt ein.

    Feld

    Details
    Aussteller

    Okta-URL ohne Parameter.
    JsonWebKeySet-Endpunkt URL für das JWK-Set von Okta.
    Autorisierungsendpunkt URL für den OAuth 2.0 Autorisierungsendpunkt von Okta.
    Token-Endpunkt URL für den OAuth 2.0 Token-Endpunkt von Okta.
    UserInfo-Endpunkt URL für den UserInfo-Endpunkt von Okta.
    Sperrungs-Endpunkt URL für den Sperrungs-Endpunkt von Okta.
  10. Wählen Sie eine Clientauthentifizierungsmethode aus. Die ausgewählte Methode muss mit der in der vorherigen Aufgabe eingerichteten Methode übereinstimmen. Es muss sich um eine von Okta unterstützte Authentifizierungsmethode handeln. Bei Auswahl von private_key_jwt müssen Sie die Option Verschlüsselung aktivieren auswählen und Ihren Client-Assertion-Verifizierungsschlüssel eingeben.
  11. Wenn Sie FICAM-Profil aktivieren auswählen, werden spezifische Einstellungen der US-Regierung aktiviert. Dieser Schritt gilt nur für FedRAMP-Benutzer.
  12. Klicken Sie auf Login-Authentifikator erstellen, um die bereitgestellten Informationen zu validieren und Ihr CXone-Konto mit Ihrem Okta-Konto zu verknüpfen.
  13. Öffnen Sie den Login-Authentifikator.

  14. Notieren Sie die Werte für Sign-in Redirect URI (Umleitungs-URI für Anmeldung) und Sign-out Redirect URI (Umleitungs-URI für Abmeldung). Sie benötigen diese, wenn Sie Ihre Okta-Einstellungen aktualisieren.

  15. Aktualisieren Sie Ihre Okta-Einstellungen, indem Sie die in der vorherigen Aufgabe verwendeten Platzhalter durch die soeben notierten Werte ersetzen.

  16. Achten Sie darauf, dass Externe Identität in CXone für jeden Benutzer, der den Login-Authentifikator verwendet, auf den richtigen Wert eingestellt ist.

    Okta bestimmt den Wert, der verwendet werden muss. Sie finden ihn im Benutzerprofil in Okta. Der Wert muss genau mit Ihrer Angabe im Feld Externe Identität in CXone übereinstimmen. Der Wert in diesem Feld muss im folgenden Format eingegeben werden: claim(email):{in Ihrem IdP konfigurierte E-Mail-Adresse}. Beispiel: wenn die E-Mail-Adresse des Benutzers im IdP "max.mustermann@classics.com" lautet, geben Sie claim(email):max.mustermann@classics.com ein.

  17. Bitten Sie den Benutzer, sich bei CXone anzumelden. Er muss die neueste Anmelde-URL verwenden. Nachdem er seinen Benutzernamen eingegeben hat, wird er ggf. zu Okta umgeleitet.

  18. Wenn Okta Sie zur Authentifizierung Ihres eigenen Kontos auffordert, tun Sie dies als der Benutzer, den Sie mit dem CXone-Konto verknüpfen möchten, bei dem Sie aktuell angemeldet sind.
  19. Wenn Ihre OpenID Connect-Einstellungen in CXone nicht als validiert angezeigt werden, verwenden Sie die Okta-Protokolle, um das Problem zu diagnostizieren.

Benutzer dem Login-Authentifikator zuweisen

  1. Klicken Sie auf den App-Selector und wählen SieAdmin.

  2. Klicken Sie auf Benutzer.

  3. Wählen Sie den Benutzer aus, den Sie dem Login-Authentifikator zuweisen möchten, oder klicken Sie auf Neu erstellen, um einen neuen Benutzer zu erstellen.

  4. Klicken Sie auf der Registerkarte Allgemein auf Bearbeiten.

  5. Wählen Sie im Bereich "Sicherheit" den Login-Authentifikator aus, den Sie zuvor in der Dropdown-Liste Login-Authentifikator erstellt haben.

  6. Klicken Sie auf Fertig.

CXone-Werte zu Okta hinzufügen

  1. Kehren Sie zu Ihrer Okta-Anwendung zurück und klicken Sie auf die Registerkarte "Allgemein".
  2. Klicken Sie im Fenster "SAML-Einstellungen" auf Bearbeiten und dann auf Weiter.
  3. Geben Sie für Single Sign-On-URL den Wert der ACS-URL ein, die Sie von Ihrem CXone-Login-Authentifikator erhalten haben.
  4. Geben Sie für Zielgruppen-URI (SP-Einheits-ID) den Wert der Einheits-ID ein, die Sie von Ihrem CXone-Login-Authentifikator erhalten haben.
  5. Klicken Sie auf Weiter, dann auf Fertig stellen, um die Änderung abzuschließen.

Benutzerzugriff mit Okta-SSO überprüfen

  1. Achten Sie darauf, dass Externe Identität für jeden Benutzer, der den Login-Authentifikator verwendet, auf den richtigen Wert eingestellt ist. Dieser Wert muss genau mit dem Feld Federated Identity in CXone übereinstimmen. In Feld Externe Identität wird zwischen Groß- und Kleinschreibung unterschieden.

  2. Bitten Sie einen oder mehrere Testbenutzer, sich über die neueste Anmelde-URL anzumelden; https://cxone.niceincontact.com. Für FedRAMP: https://cxone-gov.niceincontact.com Nachdem sie ihren Benutzernamen eingegeben haben, werden sie ggf. zu Okta umgeleitet.

  3. Wenn Sie bereit sind, führen Sie die einmalige Anmeldung (SSO) mit Okta für alle Benutzer ein.