Verwaltung der Login-Authentifikatoren

Login-Authentifikatoren steuern, wie sich Benutzer bei CXone anmelden. CXone unterstützt sowohl die interne als auch die externe Authentifizierung basierend auf dem Login-Authentifikator, der einem Benutzer zugewiesen wurde, sowie der Art und Konfiguration dieses Login-Authentifikators.

Weitere Informationen über Authentifizierung und Autorisierung in CXone finden Sie hier.

Einen System Login-Authentifikator konfigurieren

Erforderliche Berechtigungen: Kann Kennwörter verwalten – Ein

CXone beinhaltet einen standardmäßigen System-Login-Authentifikator, Sie können aber auch Ihren eigenen erstellen. Nachdem Sie einen Login-Authentifikator für eine bestimmte Rolle konfiguriert haben, zeigt das Passwortfeld die konfigurierten Login-Authentifikatorregeln an, wenn ein Benutzer versucht, das Passwort festzulegen oder zu ändern.

  1. Klicken Sie auf den App-Selector und wählen Sie Admin.
  2. Gehen Sie zu Login-Authentifikator.

  3. Klicken Sie auf Neu erstellen.

  4. Geben Sie einen eindeutigen Namen für den Login-Authentifikator ein.

  5. Geben Sie eine Beschreibung ein, wenn Sie eine wünschen.

  6. Wählen Sie System als Authentifizierungstyp aus.

    Feld

    Details
    System Der Login-Authentifikator verwendet den eingebauten Login-Prozess von CXone. Es erfolgt keine Authentifizierung über einen externen SSO-Identitätsanbieter (Single Sign-On).
    SAML SAML 2.0 ermöglicht es Ihnen, Single Sign-On über einen externen Identitätsanbieter einzurichten. CXone unterstützt mehrere Instanzen von SAML 2.0. Sie können verschiedenen Benutzern unterschiedliche Instanzen zuweisen.
  7. Richten Sie Ihre Kennwortkomplexität ein.

    Jedes Benutzerkennwort wird anhand eines Repositorys häufig verwendeter Kennwörter geprüft. Stimmt ein Kennwort mit einem dieser häufig verwendeten Kennwörter überein, muss der entsprechende Benutzer ein anderes Kennwort erstellen. Es werden unter anderem die folgenden Kennwörter abgelehnt:

    • Alle Kennwörter, die das Wort "passwort" enthalten, zum Beispiel "Passwort@1234".

    • Alle Kennwörter, die die E-Mail-Adresse, den Benutzernamen, den Vornamen oder den Nachnamen des Benutzers oder den Systemnamen enthalten.

    Kennwörter werden immer dann mit dem Repository verglichen, wenn:

    • Ein neuer Benutzer aktiviert wird.

    • Das Kennwort eines Benutzers abläuft.

    • Ein Benutzer sein Kennwort ändert.

    FeldDetails
    Kleinbuchstaben erfordern (a-z)Benutzer müssen mindestens einen Kleinbuchstaben in ihrem Kennwort verwenden.
    Großbuchstaben erfordern (A-Z)Benutzer müssen mindestens einen Großbuchstaben in ihrem Kennwort verwenden.
    Zahlen erfordern (0-9)Benutzer müssen mindestens eine Ziffer in ihrem Kennwort verwenden.
    Nicht-alphanumerische Zeichen erfordern (!,@,#,etc.)Benutzer müssen mindestens ein Sonderzeichen in ihrem Kennwort verwenden.

  8. Wenn Sie die mehrstufige Authentifizierung (MFA) aktivieren möchten, wählen Sie Mehrstufige Authentifizierung erfordern aus. Legen Sie Ihren MFA-Typ als HOTP und TOTP fest.

    Feld Details
    Mehrstufige Authentifizierung erfordern

    Erfordert von Benutzern die Eingabe eines Tokens für die mehrstufige Authentifizierung (MFA) zusätzlich zu ihrem Kennwort, wenn sie sich bei CXone anmelden. Ein MFA-Token ist ein einmaliges Kennwort, das von einem Hardware-Token oder einem virtuellen MFA-Gerät (z. B. einer App wie Google Authenticator) generiert wird, das Sie bereitstellen. Wenn Sie MFA aktivieren, müssen Benutzer mit dem entsprechenden Profil bei der nächsten Anmeldung einen MFA-Geheimschlüssel konfigurieren.

    Sie sollten MFA nicht für den Hauptadministrator in Ihrer Organisation aktivieren. Geht das Gerät oder Geheimnis verloren, kann das MFA-Geheimnis nur zurückgesetzt werden, indem Sie ein Ticket bei NICE CXone eröffnen.
    MFA-Typ Legt fest, ob Sie für die mehrstufige Authentifizierung den Typ TOTP oder HOTP aktivieren möchten.

  9. Legen Sie Ihre Kennwortrichtlinie fest.

    Feld Details
    Passwortlänge Geben Sie die Anzahl Zeichen ein, die ein Benutzerkennwort insgesamt mindestens enthalten muss. Wenn Sie beispielsweise 12 eingeben, müssen Benutzer mindestens 12 Zeichen für ihr Kennwort verwenden. Die Zeichen, die gemäß den Einstellungen für die Kennwortkomplexität erforderlich sind, werden dabei mitgezählt. Sie können für die Kennwortlänge eine Zahl zwischen 12 und 24eingeben.
    Passwortalter aktivieren Aktiviert ein Textfeld, in das Sie die Höchstzahl an Tagen eingeben, die Benutzer ihr Kennwort behalten können. Nach der festgelegten Anzahl von Tagen müssen Benutzer ihr Kennwort ändern. Sie können für das Höchstalter des Kennworts einen beliebigen Wert von 14 bis 365 Tagen festlegen.
    Passworthistorie aktivieren Geben Sie die Anzahl der verschiedenen Kennwörter ein, die ein Benutzer festlegen muss, bevor er ein zuvor verwendetes Kennwort erneut verwenden kann. Sie können für die Kennworthistorie einen beliebigen Wert von 4 bis 50 festlegen. Wenn Sie zum Beispiel 10 eingeben, können die dem Login-Authentifikator zugewiesenen Benutzer keines ihrer letzten 10 Kennwörter als neues Kennwort verwenden.

  10. Klicken Sie auf Login-Authentifikator erstellen.

Externen Login-Authentifikator einrichten

Sie können die externe Authentifizierung verwenden, wenn Benutzer ihr Kennwort über ein anderes System oder einen Identitätsanbieter verwalten sollen. CXone unterstützt derzeit SAML 2.0- und OpenID Connect-Verbandprotokolle.

Sie können die vom IdP initiierte Authentifizierung oder die vom SP initiierte Authentifizierung mit den in diesem Abschnitt beschriebenen Schritten einrichten.

IdP-initiierte Authentifizierung – IdP steht für Identitätsanbieter. IdP-initiierte Authentifizierung bedeutet, dass der externe Identitätsanbieter den Anmeldeprozess startet.

SP-initiierte Authentifizierung – SP steht für Service Provider. SP-initiierte Authentifizierung bedeutet, dass CXone den Anmeldeprozess startet.

Wenn Sie Salesforce Agent verwenden, muss der externe Identitätsanbieter (IdP) für die SP-initiierte Authentifizierung konfiguriert werden. Das vom IdP bereitgestellte Zertifikat muss SP-initiiert mit einer spezifischen Endpunkt-URL sein. Ein Zertifikat mit der Einstellung Endpunkt-URL Keine - nur IdP-initiiert funktioniert nicht.

Externen Login-Authentifikator mit SAML 2.0 einrichten

  1. Vergewissern Sie sich, dass Sie Zugang zum externen Identitätsanbieter haben. Sie müssen eine für CXone spezifische Anwendung erstellen.
  2. Erstellen Sie die Integration im externen Identitätsanbieter. Die verschiedenen Systeme verwenden unterschiedliche Namen für diese Integrationen. Lesen Sie hierzu die spezifischen Anleitungen für Okta oder Azure.
    1. Sie müssen eine Einheits-ID angeben, die Sie zu diesem Zeitpunkt noch nicht kennen. Verwenden Sie https://cxone.niceincontact.com/need_to_change als Platzhalter.
    2. Sie müssen eine ACS-URL angeben, die Sie zu diesem Zeitpunkt noch nicht kennen. Verwenden Sie https://cxone.niceincontact.com/need_to_change als Platzhalter.
    3. Der Identitätsanbieter generiert eine spezifische URL, an die SAML-Anfragen gesendet werden müssen. Kopieren Sie diese URL und speichern Sie sie so, dass Sie sie leicht wiederfinden. Sie müssen diesen Wert in einem späteren Schritt eingeben.
    4. Der Identitätsanbieter generiert ein öffentliches Signaturzertifikat für die Integration. Laden Sie das Zertifikat herunter. Sie benötigen es in einem späteren Schritt.
  3. Erstellen Sie einen externen Login-Authentifikator in CXone.
    1. Klicken Sie auf den App-Selector und wählen SieAdmin.
    2. Klicken Sie auf SicherheitLogin-Authentifikator.
    3. Geben Sie Name und Beschreibung des Login-Authentifikators ein.
    4. Wählen Sie SAML als Authentifizierungstyp.
    5. Wenn Sie FICAM auswählen, muss die SAML-Antwort einen einzelnen AuthnContextClassRef-Eintrag enthalten. Außerdem muss die NamespaceURI des Assertion-Subjekts folgenden Wert aufweisen: urn:oasis:names:tc:SAML:2.0:assertion. Die Felder AuthnContextClassRef und NamespaceURI werden vom Identitätsanbieter bestimmt.
    6. Geben Sie den SAML-Anfragenendpunkt, den Sie von Ihrem Anbieter erhalten haben, als Endpunkt-URL ein.
    7. Klicken Sie auf Datei auswählen und wählen Sie das öffentliche Signaturzertifikat Ihres Identitätsanbieters aus. Dabei muss es sich um eine PEM-Datei handeln. Dies ist eine Textdatei, deren erste Zeile die Wörter BEGIN CERTIFICATE und weiteren Text enthält.
    8. Klicken Sie auf Speichern und aktivieren.
    9. Öffnen Sie den Login-Authentifikator.

    10. Notieren Sie sich die Einheits-ID und die ACS-URL. Sie benötigen diese, wenn Sie Ihre IdP-Einstellungen aktualisieren.

  4. Aktualisieren Sie die Einstellungen Ihres Identitätsanbieters, indem Sie die oben genannten Platzhalter durch die Werte ersetzen, die Sie sich notiert haben.

  5. Weisen Sie den Login-Authentifikator über die Benutzerrolle Benutzern zu.

  6. Achten Sie darauf, dass Externe Identität für jeden Benutzer, der den Login-Authentifikator verwendet, auf den richtigen Wert eingestellt ist.

    Ihr Identitätsanbieter bestimmt den Wert, der zu verwenden ist. Der Wert muss genau mit Ihrer Angabe im Feld Externe Identität in CXone übereinstimmen.

  7. Die Benutzer können sich jetzt anmelden. Sie müssen die neueste Login-URL verwenden. Nachdem sie ihren Benutzernamen eingegeben haben, werden sie ggf. zum externen Identitätsanbieter umgeleitet.

Externen Login-Authentifikator mit OpenID Connect einrichten

Wenn OpenID Connect noch nicht in Ihrem System aktiviert ist, wenden Sie sich an Ihren CXone Account Representative. Er kann die Aktivierung für Sie vornehmen und Ihnen dabei helfen, einen benutzerdefinierten Hostnamen für Ihre Anmeldung einzurichten.

Screenshot der Registerkarte OpenID Connect eines Geschäftsbereichs im Bearbeitungsmodus

  1. Wenn Sie dies noch nicht getan haben, konfigurieren SIe Ihren IdP. Notieren Sie sich Ihre Kundenkennung und Ihr Kundengeheimnis. Konfigurieren Sie einen Umleitungs-URI, der für Ihr System spezifisch ist. Dieser URI basiert auf dem benutzerdefinierten Hostnamen, den Sie mit Ihrem NICE CXone Kundenberater konfiguriert haben.

  2. Klicken Sie auf den App-Selector und wählen SieAdmin

  3. Klicken Sie auf Login-Authentifikator.

  4. Klicken Sie auf Neu erstellen, oder wählen Sie den Login-Authentifikator aus, den Sie bearbeiten möchten.
  5. Geben Sie Name und Beschreibung des Login-Authentifikators ein.
  6. Wählen Sie OIDC als Authentifizierungstyp aus.
  7. Wenn Sie einen Erkennungsendpunkt für Ihren IdP haben, klicken Sie auf Einstellungen entdecken. Geben Sie Ihren Erkennungsendpunkt ein und klicken Sie auf Entdecken. Die restlichen Felder werden für Sie ausgefüllt.
  8. Geben Sie Ihr Client-ID und Client-Passwort. Geben Sie das Passwort erneut ein Client-Passwort bestätigen. Die Client-Kennung ist die Ihrem Konto von Ihrem Identitätsanbieter zugewiesene Anmelde-ID.

  9. Wenn Sie keinen Erkennungsendpunkt für Ihren IdP haben, geben Sie die vom IdP bereitgestellten Werte für Aussteller, JsonWebKeySet-Endpunkt, Autorisierungsendpunkt, Token-Endpunkt, UserInfo-Endpunkt und Sperrungs-Endpunkt ein.

    Feld

    Details
    Aussteller

    Die URL Ihres IdP ohne Parameter.
    JsonWebKeySet-Endpunkt Die URL des JWK-Sets Ihres IdP.
    Autorisierungsendpunkt Die URL des OAuth 2.0-Autorisierungsendpunkts Ihres IdP.
    Token-Endpunkt Die URL des OAuth 2.0-Token-Endpunkts Ihres IdP.
    UserInfo-Endpunkt Die URL des UserInfo-Endpunkts Ihres IdP.
    Sperrungs-Endpunkt Die URL des Sperrungs-Endpunkts Ihres IdP.
  10. Wählen Sie eine Clientauthentifizierungsmethode aus. Die von Ihnen ausgewählte Methode muss eine von Ihrem IdP unterstützte Authentifizierungsmethode sein. Bei Auswahl von private_key_jwt müssen Sie die Option Verschlüsselung aktivieren auswählen und Ihren Client-Assertion-Verifizierungsschlüssel eingeben.
  11. Wenn Sie FICAM-Profil aktivieren auswählen, werden spezifische Einstellungen der US-Regierung aktiviert.
  12. Klicken Sie auf Login-Authentifikator erstellen, um die bereitgestellten Informationen zu validieren und Ihr CXone-Konto mit Ihrem IdP-Konto zu verknüpfen.
  13. Wenn Ihr IdP Sie zur Authentifizierung auffordert, tun Sie dies als Benutzer des IdP, den Sie mit dem CXone-Konto verknüpfen möchten, bei dem Sie aktuell angemeldet sind.
  14. Wenn Ihre OpenID Connect-Einstellungen in CXone nicht als validiert angezeigt werden, verwenden Sie Ihre IdP-Protokolle, um das Problem zu diagnostizieren.

Neue Benutzer mit Anspruchsbasis verknüpfen OpenID Connect

CXone kann einen anderen Anspruchswert, z. B. eine E-Mail-Adresse, verwenden, um die Identität des Benutzers bei der ersten Anmeldung festzustellen. CXone schaltet dann automatisch auf den eindeutigen OpenID Connect Antragsteller um. So können Sie die föderierte Identität eines Benutzers vorkonfigurieren.

PKCE für Frontend-Authentifizierung

Es kann sein, dass Sie Schwierigkeiten bei der Verwendung des OpenID Connect Autorisierungscode-Ablaufs haben. Dieser Ablauf erfordert ein client_secret als Teil des Token-Austauschs. Die Codierung des client_secret in einer Webanwendung ist ein Sicherheitsrisiko. OpenID Connect ermöglicht einen alternativen Ablauf namens PKCE (Proof Key for Code Exchange). PKCE verwendet eine andere Authentifizierungsmethode. NICE CXone unterstützt PKCE-Abläufe für Frontend-Integrationen.

Benutzer dem Login-Authentifikator zuweisen

  1. Klicken Sie auf den App-Selector und wählen SieAdmin.

  2. Klicken Sie auf Benutzer.

  3. Wählen Sie den Benutzer aus, den Sie dem Login-Authentifikator zuweisen möchten, oder klicken Sie auf Neu erstellen, um einen neuen Benutzer zu erstellen.

  4. Klicken Sie auf der Registerkarte Allgemein auf Bearbeiten.

  5. Wählen Sie im Bereich "Sicherheit" den Login-Authentifikator aus, den Sie zuvor in der Dropdown-Liste Login-Authentifikator erstellt haben.

  6. Auf Fertig klicken.