Authentifizierung und Autorisierung in CXone

Diese Seite enthält spezifische Informationen dazu, wie Authentifizierung und Autorisierung in CXone funktionieren. Wenn Sie zum ersten Mal mit diesen Konzepten arbeiten, sollten Sie sich zunächst ein Grundverständnis für die Ideen und die Terminologie der Authentifizierung und Autorisierung aneignen.

Wenn Sie dieses Material durchgesehen haben, können Sie loslegen:

Wenn sich Benutzer bei einer beliebigen Anwendungssuite, einschließlich CXone, anmelden, erfolgen diese beiden Schritte normalerweise in der angegebenen Reihenfolge:

  • Authentifizierung - Ist der Benutzer derjenige, der er vorgibt zu sein?
  • Autorisierung - Soll der authentifizierte Benutzer den angeforderten Zugriff erhalten?

Alle Benutzer müssen authentifiziert und autorisiert werden, bevor sie auf CXone zugreifen können.

Benutzer können Menschen oder Anwendungen sein. Chatbots und virtuelle Assistenten werden beispielsweise häufig über ein Benutzerkonto betrieben. Die meisten Anwendungssuiten verwenden für menschliche und virtuelle Benutzer die gleichen Verfahren. In diesen Online-Hilfeseiten über Authentifizierung und Autorisierung wird der Begriff Benutzer sowohl für Personen als auch für Anwendungen verwendet. Wenn es Unterschiede gibt, werden sie klar erklärt.

Die Authentifizierung kann kompliziert einzurichten und schwierig zu testen und zu validieren sein. Um die Authentifizierung in CXone einzurichten, müssen Sie verstehen:

  • So funktioniert die Authentifizierung in CXone

  • Der integrierte CXone Identitätsanbieter

  • Externe Identitätsanbieter

  • Unterschiede zwischen der Authentifizierung von menschlichen Benutzern und Anwendungsbenutzern

Sie müssen auch wissen, wie die Autorisierung auf der Plattform CXone funktioniert.

Diese Abbildung zeigt, wie CXone die Benutzer authentifiziert und autorisiert:

  1. Ein Benutzer greift über einen unterstützten Webbrowser auf CXone zu.

  2. CXone fragt nach den Anmeldedaten des Benutzers.

  3. Der Benutzer gibt seine Anmeldedaten an.

  4. CXone verifiziert sie bei einem Identitätsanbieter (IdP). CXone verfügt über einen eigenen, integrierten IdP, kann aber auch mit einem externen IdP zusammenarbeiten.

  5. Sobald der Benutzer authentifiziert ist, ermöglicht der CXone Autorisierungsserver den Zugriff auf die CXone Plattform. CXone unterstützt keine externen Autorisierungssysteme.

Authentifizierung mit dem integrierten Identitätsanbieter

Der integrierte CXone IdP authentifiziert die Benutzer mit einem Benutzernamen und einem Passwort. Jeder Benutzername muss für Ihr Unternehmen eindeutig sein. Sie können optional eine Multi-Faktor-Authentifizierung (MFA) für eine zusätzliche Sicherheitsebene hinzufügen.

Anwendung Benutzer

Manchmal benötigen Anwendungen Zugang zu den Funktionen und Merkmalen von CXone. CXone behandelt diese Anwendungen, wie Bots und interaktive virtuelle Assistenten (IVA), als Nutzer. Anwendungsbenutzer werden nur mit integrierter Authentifizierung unterstützt. Darüber hinaus verwenden Anwendungsbenutzer keine Anmeldeauthentifikatoren. Stattdessen verwenden sie Zugangsschlüssel.

Benutzeranmeldung mit integrierter Authentifizierung

Die Benutzer sehen zunächst einen Bildschirm, der nach ihrem Benutzernamen fragt. Solange CXone den Benutzernamen nicht kennt, kann es nicht nach weiteren Anmeldedaten fragen. CXone kann nur nach Passwörtern oder MFA-Tokens fragen, wenn es weiß, welcher Benutzer sich anmeldet.

Nachdem der Benutzer seinen Benutzernamen eingegeben und auf NEXT geklickt hat, wird er in einem neuen Fenster nach seinem Passwort gefragt. Sobald der Benutzer sein richtiges Passwort eingibt und auf Anmelden klickt, authentifiziert CXone den Benutzer und gewährt ihm Zugang zum System.

Dieses Fenster sieht für Benutzer und , die für die Verwendung von MFA konfiguriert sind, etwas anders aus. Nachdem der Benutzer seinen Benutzernamen eingegeben und auf WEITER geklickt hat, wird er in einem neuen Fenster nach seinem Passwort und seinem MFA-Token gefragt. Sobald der Benutzer sein richtiges Passwort und ein gültiges Token eingegeben hat, klickt er auf Anmelden. CXone authentifiziert den Benutzer und gewährt ihm Zugang zum System.

Passwortverwaltung mit integrierter Authentifizierung

Kennwortkriterien können mit Login-Authentifikatoren angepasst werden. Mit einem Login-Authentifikator haben Sie die Kontrolle:

  • Anzahl der erforderlichen Zeichen für ein Passwort

  • Arten von Zeichen, die in einem Passwort erforderlich sind

  • Anzahl der Tage, bevor der Benutzer sein Passwort zurücksetzen muss

  • Anzahl der zulässigen falschen Passwortversuche, bevor das Konto gesperrt wird

  • Anzahl der Passwörter, die sich CXone merkt, was verhindert, dass Benutzer diese Passwörter wieder verwenden

Passwörter sind in CXonenicht sichtbar. Aus Gründen des Datenschutzes und der Sicherheit werden die Passwörter intern verwaltet und können nur über die Funktion "Passwort vergessen" oder "Passwort erneut senden" geändert werden. Die Benutzer können den Link auf dem Anmeldebildschirm für das Passwort verwenden und den Anweisungen auf dem Bildschirm folgen. Benutzer werden per E-Mail benachrichtigt, wenn ihr Kennwort geändert wurde.

CXone wird mit einem Standard-Anmeldeauthentifikator geliefert, den Sie verwenden können, wenn Sie keine benutzerdefinierten Anmeldeauthentifikatoren benötigen. Sie müssen diesen Standardauthentifikator noch den Benutzerrollen zuweisen, die ihn verwenden sollen.

Sie können so viele benutzerdefinierte Anmeldeauthentifikatoren einrichten, wie Sie möchten. So können Sie beispielsweise komplexere Kennwörter für Benutzer verlangen, die Zugang zu wichtigen Informationen haben. Jedes Mal, wenn Sie eine Authentifizierungsanforderung für ein Benutzerkonto ändern möchten, müssen Sie einen neuen Anmeldeauthentifikator erstellen. Änderungen an den Authentifikatoren gelten für die zugewiesenen Benutzer, wenn sie sich das nächste Mal anmelden.

Sie können auch eine Multi-Faktor-Authentifizierung (MFA) benutzerdefinierten Anmeldeauthentifikatoren einrichten. MFA erhöht Ihre Sicherheit, indem eine weitere Authentifizierungsebene hinzugefügt wird. Zum Beispiel können Sie Ihre Benutzer mit einem Benutzernamen und einem Kennwort authentifizieren lassen. Dann könnten Sie sie sich erneut mit einem Code authentifizieren lassen, der an ihre mobilen Geräte gesendet wird. Diese Codes werden in der Regel als MFA-Token bezeichnet, auch wenn es sich nicht um einen physischen Token handelt.

CXone unterstützt beide Haupttypen von MFA:

  • Zeitbasiert - typischerweiseverwendet von Software-Authentifikatoren wie Google
  • Zählerbasiert - typischerweisevon Hardware-Tokens verwendet

Sie können MFA für Anmeldeauthentifikatoren mit einem einzigen Kontrollkästchen aktivieren. Die spezifischen Informationen über Benutzer, ihre MFA-Einstellungen und ihre Identitäten werden jedoch im individuellen Mitarbeiterkonto verwaltet.

Anmeldeauthentifikatoren und Sicherheitsprofile sind vollständig voneinander getrennt. Das bedeutet, dass die Authentifizierungsmethode eines Mitarbeiters keinen Einfluss darauf hat, worauf er unter CXonezugreifen kann.

Authentifizierung mit einem externen Identitätsanbieter

Wenn Sie sich mit einem Konto von einer anderen Website bei einem System anmelden, verwenden Sie eine externe Authentifizierung. Sie können sich zum Beispiel mit Ihrem Google-Konto bei einer App auf Ihrem Telefon anmelden.

Bei der externen Authentifizierung, die manchmal auch als Verbund bezeichnet wird, wird ein externer Identitätsanbieter (IdP) verwendet, um die Authentifizierung von Benutzern zu unterstützen. Der externe IdP arbeitet mit dem CXone IdP zusammen, um den Benutzer zu authentifizieren. Damit beide IdPs zusammenarbeiten können, benötigen sie Authentifizierungsprotokolle.

Externe IdPs

CXone unterstützt sowohl gehostete als auch Cloud-Service-Identitätsanbieter.

Sie sollten mit Ihrem Identitätsanbieter vertraut sein. Wenn nicht, arbeiten Sie mit dem Team Ihres Unternehmens zusammen, das die Authentifizierung verwaltet. Die Gründung eines Verbandes kann schwierig sein, wenn nicht die richtigen Personen daran beteiligt sind. Ihr Unternehmen hat möglicherweise Verfahren für die Integration von Systemen wie CXone mit Ihrem Identitätsanbieter eingerichtet. Es liegt in Ihrer Verantwortung, diese Verfahren zu befolgen und Ihre spezifischen Sicherheitsanforderungen zu erfüllen. Das Team von NICE CXone unterstützt Sie auf diesem Weg.

Authentifizierungsprotokolle

Authentifizierungsprotokolle stellen die Kommunikation und das Vertrauen zwischen verschiedenen IdPs her. CXone unterstützt diese Authentifizierungsprotokolle:

  • OpenID Connect
  • SAML 2.0

OpenID Connect hat mehr Funktionen und ist einfacher zu unterstützen. Die Vorteile umfassen:

  • Technologie nach Industriestandard

  • Ermöglicht nahtlose IdP-Integration, die für die Benutzer transparent ist

  • Ermöglicht eine Reihe von Optionen zur Multi-Faktor-Authentifizierung (MFA)

  • Skalierbare Grundlage für ein Plattformdienstmodell

OpenID Connect validiert Authentifizierungen mit der Unterzeichnung von öffentlichen/privaten Zertifikaten unter Verwendung eines Industriestandards namens JWKS. Daher bestimmt die Konfiguration von OpenID Connect, wie die öffentlichen Zertifikate bezogen werden. Das Vertrauen in den Zertifikatsaussteller wird über eine Kundenkennung und ein Geheimnis hergestellt.

SAML 2.0 ist eine ältere Technologie, die Integrationsprobleme verursachen kann. Sie ist jedoch derzeit weiter verbreitet als OpenID Connect. Ihre Organisation hat möglicherweise Richtlinien, welches Protokoll verwendet werden sollte. Im Allgemeinen bieten beide ein ähnliches Benutzererlebnis und ein ähnliches Maß an Sicherheit.

Sowohl OpenID Connect als auch SAML 2.0 unterstützen den vom Dienstanbieter (SP) initiierten Authentifizierungsfluss. Dies ist ein vertrauter Ablauf und das Modell, das von vielen Anwendungen und Websites verwendet wird. Die Benutzererfahrung ist:

  • Die Benutzer geben ihre Anmeldedaten unter CXone ein (d. h. sie melden sich an).
  • CXone verwendet seinen integrierten IdP, um mit Ihrem externen IdP zu kommunizieren und die Identität des Benutzers zu überprüfen.
  • CXone verwendet seine integrierte Autorisierung, um die Zugriffsebenen des authentifizierten Benutzers zu überprüfen.
  • CXone dem authentifizierten, autorisierten Benutzer korrekten Zugang gewährt.

SAML 2.0 unterstützt auch den weniger gebräuchlichen, vom Identitätsanbieter (IdP) initiierten Fluss. In diesem Ablauf gibt Ihr Benutzer seine Anmeldedaten bei Ihrem Identitätsanbieter ein. Dann startet der Identitätsanbieter CXone.

Für SAML 2.0 unterstützt CXone nur das Signieren der Nachricht/Antwort, nicht der Zusicherung.

Von IdP initiierte Abläufe gelten für einzelne Anwendungen, nicht die ganze CXone-Suite. Beispielsweise können Sie mit diesem Ablauf die Hauptanwendungen für die Benutzeroberfläche starten, aber nicht andere Anwendungen wie Studio. Der von SP initiierte Ablauf ist erforderlich, damit die ganze Suite nahtlos funktioniert.

Ihre Benutzer sind vielleicht mit einem oder beiden dieser Authentifizierungsabläufe vertraut. Wenn Sie SAML 2.0 verwenden, sollten Sie sich der Einschränkungen bewusst sein, die jeder Fluss mit sich bringt. Auf diese wird im nächsten Abschnitt näher eingegangen. OpenID Connect verwendet immer den vom SP initiierten Fluss.

CXone unterstützt nicht die von einigen Authentifizierungsprotokollen angebotene zusätzliche Verschlüsselung.

Die Konfigurationsdetails unterscheiden sich je nach dem von Ihnen gewählten IdP und Authentifizierungsprotokoll. Es ist nicht möglich, alle möglichen Kombinationen von IdPs und Authentifizierungsprotokollen zu behandeln, aber ein paar gängige Szenarien werden in den folgenden Informationen erörtert.

Bewerten Sie die Kombination

Die CXone Suite unterstützt nicht jede Kombination von Anwendung, externem IdP und Authentifizierungsprotokoll. In einigen Fällen gibt es keine Unterstützung. In anderen Fällen gibt es Einschränkungen mit Umgehungsmöglichkeiten. Es ist schwierig, mögliche Probleme für jede Kombination und jedes Szenario aufzuzeigen, daher sollten Sie eine Testeinrichtung mit Ihrem Identitätsanbieter durchführen. Ihr Test sollte die verschiedenen Anwendungsfälle und Benutzerströme berücksichtigen. Die folgende Tabelle kann Ihnen bei Ihrer Bewertung helfen.

CXone Anwendung Externe IDP Authentifizierungsprotokoll Beschränkungen und Umgehungsmöglichkeiten
CXone Plattform und alle Anwendungen Alle Alle Unterstützt nicht die Verschlüsselung von Forderungen.
CXone Plattform und alle Anwendungen Alle SAML 2.0 Es wird nur das Signieren von Nachrichten unterstützt. Die öffentliche Bescheinigung muss in der Antwort enthalten sein.
CXone Plattform Azure AD SAML 2.0 Es wird nur der vom IdP initiierte Fluss unterstützt.

Nur die Haupt-Webanwendungen unterstützen den von IdP initiierten SAML 2.0-Ablauf. Benutzer, die Zugriff auf Studio oder die verschiedenen Agentenanwendungen benötigen, müssen die integrierte Authentifizierung oder einen von SP initiierten Ablauf verwenden.

Vertrauen schaffen

Identitätsanbieter müssen einander vertrauen, bevor sie miteinander kommunizieren können. Jeder Anbieter muss über Informationen über den anderen verfügen. Welche Informationen erforderlich sind, hängt vom jeweiligen Authentifizierungsprotokoll ab. Wie die Informationen beschafft werden, hängt vom IdP ab.

Vertrauen in OpenID Connect

Konfigurieren Sie gemeinsam mit Ihrem CXone Account Representative eine Vertrauensbeziehung zwischen Ihrem CXone Business UnitGeschlossen Eine übergeordnete organisatorische Gruppierung, die Sie für die technische Unterstützung und Abrechnung und außerdem zur Bearbeitung von globalen Einstellungen in Ihrer CXone Umgebung einsetzen können. und Ihrem externen IdP mithilfe von OpenID Connect.

Vertrauen in OpenID Connect beinhaltet diese Werte, die Sie benötigen, um die Beziehung zu konfigurieren:

  • Issuer - Dieser Wert sieht immer wie eine URL aus. Issuer-Werte variieren je nach externem IdP, aber sie sehen immer wie eine URL aus. Google kann zum Beispiel als externer IdP arbeiten und unterstützt OpenID Connect. Der Google-Aussteller ist https://accounts.google.com. Viele externe IdP-Anbieter machen ihre Issuer-URLs auffindbar, indem sie ".well-known/openid-configuration" an das Ende der primären URL für den IdP anhängen. Dadurch erhalten Sie oft zusätzliche wertvolle Informationen vom IdP. Die folgende Abbildung zeigt die Arten von Informationen, die auf diese Weise von Facebook unter https://www.facebook.com/.well-known/openid-configuration bereitgestellt werden:

    Ein Beispiel für die Arten von Informationen, die von einer Erkennungs-URL für den externen Identitätsanbieter von Facebook zurückgegeben werden. Dazu gehören u. a. der Aussteller, der Endpunkt und die unterstützten Antworttypen und Ansprüche.

  • Client Identifier - Dieser Wert wird Ihnen von Ihrem externen IdP zugewiesen, damit Sie ihn mit CXoneverwenden können. Während der Authentifizierung teilt es dem IdP mit, welche Anwendung versucht, sich zu authentifizieren.
  • Clientschlüssel – Dieser Wert sorgt für eine sichere Authentifizierung und verhindert, dass böswillige Akteure den externen IdP verwenden können, um sich bei Ihrem CXone Business Unit zu authentifizieren. CXone unterstützt nur client_secret_basic und client_secret_post.

Vertrauen in SAML 2.0

Es gibt mehrere Konfigurationsparameter, die verwendet werden, um Vertrauen mit SAML 2.0 aufzubauen. Arbeiten Sie mit Ihrem CXone Account Representative zusammen und verwenden Sie diese Parameter, um eine Vertrauensbeziehung zwischen Ihrem CXone Business UnitGeschlossen Eine übergeordnete organisatorische Gruppierung, die Sie für die technische Unterstützung und Abrechnung und außerdem zur Bearbeitung von globalen Einstellungen in Ihrer CXone Umgebung einsetzen können. und Ihrem externen IdP zu erstellen.

Feld

Details

Entitäts-ID

Eine vorausgefüllte, nicht editierbare globale eindeutige ID, die Ihr externer IdP bei Verwendung des SAML 2.0 Protokolls möglicherweise von Ihnen verlangt. Der IdP fügt sie als Entitäts-ID des Ausstellers in die SAML 2.0 Anforderungsnachricht ein. Bei einigen IDPs, einschließlich Okta und OneLogin, müssen Sie die Entitäts-ID nicht auf deren Seite konfigurieren. Andere, einschließlich Salesforce, tun dies.

Endpunkt-URL

Die von Ihrem IdP bereitgestellte Endpunkt-URL.

Assertion URL

Eine vorausgefüllte, nicht editierbare URL, die Ihr IdP benötigt, um einen SAML 2.0 Fluss einzurichten. Es dient als Endpunkt-URL zum Empfangen und Parsen einer Authentifizierungszusicherung. Sie müssen diese ID in Ihre IdP-Konfiguration eingeben, normalerweise in das Feld ACD-URL. Einige IdPs nennen es etwas anderes als ACS. In der Vorlage Okta SAML 2.0 geben Sie beispielsweise diese URL in das Feld Single Sign-on-URL ein.

Identitätsanbieterzertifikat Ihr IdP wird Ihnen ein Sicherheitszertifikat zur Verfügung stellen.

Authentifizierung von Anwendungen

Benutzer und Anwendungen werden auf sehr ähnliche Weise authentifiziert. Der Hauptunterschied besteht darin, dass die Anwendungen mit einem Zugangsschlüssel authentifiziert werden, während die Benutzer mit einem Benutzernamen und einem Passwort authentifiziert werden. Im Gegensatz zu den Benutzern müssen die Anwendungen nicht über einen Browser interagieren. Sie können in einer Back-Office-Umgebung arbeiten.

Sie können ein Benutzerprofil oder ein erstellen, um eine Anwendung anstelle eines Benutzers zu repräsentieren. Dazu legen Sie ein Benutzerprofil und ein an, benennen das Profil nach der Anwendung und erstellen einen Zugangsschlüssel. CXone verwaltet intern die Authentifizierung von Anwendungen. Sie können nicht mit externen Identitätsanbietern authentifiziert werden.

Autorisierung in CXone

Bei der Autorisierung wird überprüft, auf welche Ressourcen ein Benutzer zugreifen darf. Zu den Ressourcen können Anwendungen, Dateien und Daten gehören. Sie können den Zugang der Benutzer zu den Ressourcen mit Sicherheitsprofilen festlegen. CXone verwaltet die Autorisierung während des Anmeldevorgangs automatisch. Wenn ein Benutzer authentifiziert ist, erhält er nur Zugriff auf die Ressourcen, für die er autorisiert ist.

Die Authentifizierungsmethode eines Benutzers hat keinen Einfluss auf die Autorisierung. CXone verwendet den gleichen Autorisierungsprozess für alle Benutzer. Dabei spielt es keine Rolle, ob sie mit Zugangsschlüsseln oder Passwörtern authentifiziert sind.