Verwaltung der Login-Authentifikatoren

Login-Authentifikatoren steuern, wie sich Benutzer bei CXone anmelden. CXone unterstützt sowohl die interne als auch die externe Authentifizierung basierend auf dem Login-Authentifikator, der einem Benutzer zugewiesen wurde, sowie der Art und Konfiguration dieses Login-Authentifikators.

Weitere Informationen über Authentifizierung und Autorisierung in CXone finden Sie hier.

Einen System Login-Authentifikator konfigurieren

Erforderliche Berechtigungen: Kann Kennwörter verwalten – Ein

CXone beinhaltet einen standardmäßigen System-Login-Authentifikator, Sie können aber auch Ihren eigenen erstellen. Nachdem Sie einen Login-Authentifikator für eine bestimmte Rolle konfiguriert haben, zeigt das Passwortfeld die konfigurierten Login-Authentifikatorregeln an, wenn ein Benutzer versucht, das Passwort festzulegen oder zu ändern.

  1. Klicken Sie auf den App-Selector und wählen Sie Admin.
  2. Gehen Sie zu Login-Authentifikator.
  3. Klicken Sie auf Neu erstellen.

  4. Geben Sie einen eindeutigen Namen für den Login-Authentifikator ein.

  5. Geben Sie eine Beschreibung ein, wenn Sie eine wünschen.

  6. Wählen Sie System als Authentifizierungstyp aus.

  7. Richten Sie Ihre Kennwortkomplexität ein.

    Jedes Benutzerkennwort wird anhand eines Repositorys häufig verwendeter Kennwörter geprüft. Stimmt ein Kennwort mit einem dieser häufig verwendeten Kennwörter überein, muss der entsprechende Benutzer ein anderes Kennwort erstellen. Es werden unter anderem die folgenden Kennwörter abgelehnt:

    • Alle Kennwörter, die das Wort "passwort" enthalten, zum Beispiel "Passwort@1234".

    • Alle Kennwörter, die die E-Mail-Adresse, den Benutzernamen, den Vornamen oder den Nachnamen des Benutzers oder den Systemnamen enthalten.

    Kennwörter werden immer dann mit dem Repository verglichen, wenn:

    • Ein neuer Benutzer aktiviert wird.

    • Das Kennwort eines Benutzers abläuft.

    • Ein Benutzer sein Kennwort ändert.

  8. Wenn Sie die mehrstufige Authentifizierung (MFA) aktivieren möchten, wählen Sie Mehrstufige Authentifizierung erfordern aus. Legen Sie Ihren MFA-Typ als HOTP und TOTP fest.

  9. Legen Sie Ihre Kennwortrichtlinie fest.

  10. Klicken Sie auf Login-Authentifikator erstellen.

Externen Login-Authentifikator mit SAML 2.0 einrichten

Sie können die externe Authentifizierung verwenden, wenn Benutzer ihr Kennwort über ein anderes System oder einen Identitätsanbieter verwalten sollen. CXone unterstützt derzeit SAML 2.0- und OpenID Connect-Verbandprotokolle.

Sie können die vom IdP initiierte Authentifizierung oder die vom SP initiierte Authentifizierung mit den in diesem Abschnitt beschriebenen Schritten einrichten.

IdP-initiierte Authentifizierung – IdP steht für Identitätsanbieter. IdP-initiierte Authentifizierung bedeutet, dass der externe Identitätsanbieter den Anmeldeprozess startet.

SP-initiierte Authentifizierung – SP steht für Service Provider. SP-initiierte Authentifizierung bedeutet, dass CXone den Anmeldeprozess startet.

Wenn Sie Salesforce Agent verwenden, muss der externe Identitätsanbieter (IdP) für die SP-initiierte Authentifizierung konfiguriert werden.

  1. Vergewissern Sie sich, dass Sie Zugang zum externen Identitätsanbieter haben. Sie müssen eine für CXone spezifische Anwendung erstellen.
  2. Erstellen Sie die Integration im externen Identitätsanbieter. Die verschiedenen Systeme verwenden unterschiedliche Namen für diese Integrationen. Lesen Sie hierzu die spezifischen Anleitungen für Okta oder Azure.
    1. Sie müssen eine Einheits-ID angeben, die Sie zu diesem Zeitpunkt noch nicht kennen. Verwenden Sie https://cxone.niceincontact.com/need_to_change als Platzhalter.
    2. Sie müssen eine ACS-URL angeben, die Sie zu diesem Zeitpunkt noch nicht kennen. Verwenden Sie https://cxone.niceincontact.com/need_to_change als Platzhalter.
    3. Der Identitätsanbieter generiert eine spezifische URL, an die SAML-Anfragen gesendet werden müssen. Kopieren Sie diese URL und speichern Sie sie so, dass Sie sie leicht wiederfinden. Sie müssen diesen Wert in einem späteren Schritt eingeben.
    4. Der Identitätsanbieter generiert ein öffentliches Signaturzertifikat für die Integration. Laden Sie das Zertifikat herunter. Sie benötigen es in einem späteren Schritt.
  3. Erstellen Sie einen externen Login-Authentifikator in CXone.
    1. Klicken Sie auf den App-Selector und wählen SieAdmin.
    2. Klicken Sie auf SicherheitLogin-Authentifikator.
    3. Geben Sie Name und Beschreibung des Login-Authentifikators ein.
    4. Wählen Sie SAML als Authentifizierungstyp.
    5. Wenn Sie FICAM auswählen, muss die SAML-Antwort einen einzelnen AuthnContextClassRef-Eintrag enthalten. Außerdem muss die NamespaceURI des Assertion-Subjekts folgenden Wert aufweisen: urn:oasis:names:tc:SAML:2.0:assertion. Die Felder AuthnContextClassRef und NamespaceURI werden vom Identitätsanbieter bestimmt.
    6. Geben Sie den SAML-Anfragenendpunkt, den Sie von Ihrem Anbieter erhalten haben, als Endpunkt-URL ein.
    7. Klicken Sie auf Datei auswählen und wählen Sie das öffentliche Signaturzertifikat Ihres Identitätsanbieters aus. Dabei muss es sich um eine PEM-Datei handeln. Dies ist eine Textdatei, deren erste Zeile die Wörter BEGIN CERTIFICATE und weiteren Text enthält.
    8. Klicken Sie auf Speichern und aktivieren.
    9. Öffnen Sie den Login-Authentifikator.
    10. Notieren Sie sich die Einheits-ID und die ACS-URL. Sie benötigen diese, wenn Sie Ihre IdP-Einstellungen aktualisieren.

  4. Aktualisieren Sie die Einstellungen Ihres Identitätsanbieters, indem Sie die oben genannten Platzhalter durch die Werte ersetzen, die Sie sich notiert haben.

  5. Achten Sie darauf, dass Externe Identität für jeden Benutzer, der den Login-Authentifikator verwendet, auf den richtigen Wert eingestellt ist.

    Ihr Identitätsanbieter bestimmt den Wert, der zu verwenden ist. Der Wert muss genau mit Ihrer Angabe im Feld Externe Identität in CXone übereinstimmen.

  6. Die Benutzer können sich jetzt anmelden. Er muss die neueste Anmelde-URL verwenden. Nachdem sie ihren Benutzernamen eingegeben haben, werden sie ggf. zum externen Identitätsanbieter umgeleitet.

Externe Login-Authentifikatoren erstellen mit OpenID Connect

Erforderliche Berechtigungen: Login-Authentifikator – Erstellen

Sie können die externe Authentifizierung verwenden, wenn Benutzer ihr Kennwort über ein anderes System oder einen Identitätsanbieter verwalten sollen. CXone unterstützt derzeit SAML 2.0- und OpenID Connect-Verbandprotokolle.

Sie können die vom IdP initiierte Authentifizierung oder die vom SP initiierte Authentifizierung mit den in diesem Abschnitt beschriebenen Schritten einrichten.

IdP-initiierte Authentifizierung – IdP steht für Identitätsanbieter. IdP-initiierte Authentifizierung bedeutet, dass der externe Identitätsanbieter den Anmeldeprozess startet.

SP-initiierte Authentifizierung – SP steht für Service Provider. SP-initiierte Authentifizierung bedeutet, dass CXone den Anmeldeprozess startet.

Wenn Sie Salesforce Agent verwenden, muss der externe Identitätsanbieter (IdP) für die SP-initiierte Authentifizierung konfiguriert werden.

  1. Vergewissern Sie sich, dass Sie Zugang zum externen Identitätsanbieter haben. Sie müssen eine für CXone spezifische Anwendung erstellen.
  2. Erstellen Sie die Integration im externen Identitätsanbieter.
    1. Sie müssen eine Umleitungs-URI für die Anmeldung angeben, die Sie zu diesem Zeitpunkt noch nicht kennen. Verwenden Sie https://cxone.niceincontact.com/need_to_change als Platzhalter.
    2. Sie müssen eventuell eine Umleitungs-URI für die Abmeldung angeben, die Sie zu diesem Zeitpunkt noch nicht kennen. Verwenden Sie https://cxone.niceincontact.com/need_to_change als Platzhalter.
    3. Der Identitätsanbieter generiert eine Client-ID und einen Clientschlüssel. Notieren Sie sich diese Werte. Sie müssen diese Werte in einem späteren Schritt eingeben.
  3. Erstellen Sie einen externen Login-Authentifikator in CXone.
    1. Klicken Sie auf den App-Selector und wählen SieAdmin.

    2. Klicken Sie auf Login-Authentifikator.

    3. Klicken Sie auf Neu erstellen, oder wählen Sie den Login-Authentifikator aus, den Sie bearbeiten möchten.
    4. Geben Sie Name und Beschreibung des Login-Authentifikators ein.
    5. Wählen Sie OIDC als Authentifizierungstyp aus.
    6. Wenn Sie einen Erkennungsendpunkt für Ihren IdP haben, klicken Sie auf Einstellungen erkennen. Geben Sie Ihren Erkennungsendpunkt ein und klicken Sie auf Entdecken. Die restlichen Felder werden für Sie ausgefüllt. Einstellungen erkennen funktioniert nicht mit Salesforce-Erkennungsendpunkten.
    7. Geben Sie Ihre Client-Kennung und Ihr Client-Kennwort ein. Geben Sie das Passwort erneut ein Client-Passwort bestätigen. Die Client-Kennung ist die Ihrem Konto von Ihrem Identitätsanbieter zugewiesene Anmelde-ID.
    8. Wenn Sie keinen Erkennungsendpunkt für Ihren IdP haben, geben Sie die vom IdP bereitgestellten Werte für Aussteller, JsonWebKeySet-Endpunkt, Autorisierungsendpunkt, Token-Endpunkt, UserInfo-Endpunkt, Sperrungs-Endpunkt und Endpunkt für Sitzungsende ein.

    9. Wählen Sie eine Clientauthentifizierungsmethode aus. Die von Ihnen ausgewählte Methode muss eine von Ihrem IdP unterstützte Authentifizierungsmethode sein. Bei Auswahl von private_key_jwt müssen Sie die Option Verschlüsselung aktivieren auswählen und Ihren Client-Assertion-Verifizierungsschlüssel eingeben.
    10. Wenn Sie FICAM-Profil aktivieren auswählen, werden spezifische Einstellungen der US-Regierung aktiviert.
    11. Klicken Sie auf Login-Authentifikator erstellen, um die bereitgestellten Informationen zu validieren und Ihr CXone-Konto mit Ihrem IdP-Konto zu verknüpfen.
    12. Öffnen Sie den Login-Authentifikator.
    13. Notieren Sie die Werte für Sign-in Redirect URI (Umleitungs-URI für Anmeldung) und Sign-out Redirect URI (Umleitungs-URI für Abmeldung). Sie benötigen diese, wenn Sie Ihre IdP-Einstellungen aktualisieren.

  4. Aktualisieren Sie die Einstellungen Ihres Identitätsanbieters, indem Sie die oben genannten Platzhalter durch die Werte ersetzen, die Sie sich notiert haben.

  5. Achten Sie darauf, dass Externe Identität für jeden Benutzer, der den Login-Authentifikator verwendet, auf den richtigen Wert eingestellt ist.

    Ihr Identitätsanbieter bestimmt den Wert, der zu verwenden ist. Der Wert muss genau mit Ihrer Angabe im Feld Externe Identität in CXone übereinstimmen. Der Wert in diesem Feld muss im folgenden Format eingegeben werden: claim(email):{in Ihrem IdP konfigurierte E-Mail-Adresse}. Beispiel: wenn die E-Mail-Adresse des Benutzers im IdP "max.mustermann@classics.com" lautet, geben Sie claim(email):max.mustermann@classics.com ein.

  6. Die Benutzer können sich jetzt anmelden. Sie müssen die neueste Login-URL verwenden. Nachdem sie ihren Benutzernamen eingegeben haben, werden sie ggf. zum externen Identitätsanbieter umgeleitet.

  7. Wenn Ihr IdP Sie zur Authentifizierung auffordert, tun Sie dies als Benutzer des IdP, den Sie mit dem CXone-Konto verknüpfen möchten, bei dem Sie aktuell angemeldet sind.
  8. Wenn Ihre OpenID Connect-Einstellungen in CXone nicht als validiert angezeigt werden, verwenden Sie Ihre IdP-Protokolle, um das Problem zu diagnostizieren.

Neue Benutzer mit Anspruchsbasis verknüpfen OpenID Connect

CXone kann einen anderen Anspruchswert, z. B. eine E-Mail-Adresse, verwenden, um die Identität des Benutzers bei der ersten Anmeldung festzustellen. CXone schaltet dann automatisch auf den eindeutigen OpenID Connect Antragsteller um. So können Sie die föderierte Identität eines Benutzers vorkonfigurieren.

PKCE für Frontend-Authentifizierung

Es kann sein, dass Sie Schwierigkeiten bei der Verwendung des OpenID Connect Autorisierungscode-Ablaufs haben. Dieser Ablauf erfordert ein client_secret als Teil des Token-Austauschs. Die Codierung des client_secret in einer Webanwendung ist ein Sicherheitsrisiko. OpenID Connect ermöglicht einen alternativen Ablauf namens PKCE (Proof Key for Code Exchange). PKCE verwendet eine andere Authentifizierungsmethode. NICE CXone unterstützt PKCE-Abläufe für Frontend-Integrationen.

Benutzer dem Login-Authentifikator zuweisen

  1. Klicken Sie auf den App-Selector und wählen SieAdmin.
  2. Klicken Sie auf Benutzer.

  3. Wählen Sie den Benutzer aus, den Sie dem Login-Authentifikator zuweisen möchten, oder klicken Sie auf Neu erstellen, um einen neuen Benutzer zu erstellen.

  4. Klicken Sie auf der Registerkarte Allgemein auf Bearbeiten.

  5. Wählen Sie im Bereich "Sicherheit" den Login-Authentifikator aus, den Sie zuvor in der Dropdown-Liste Login-Authentifikator erstellt haben.

  6. Klicken Sie auf Fertig.