Administrar federación con Okta

Okta es solo uno de los proveedores de identidades (IdP) externos admitidos que puede usar con CXone. Esta página lo guía, paso a paso, en la configuración de la autenticación para su CXone sistema usando Okta.

Si está realizando la implementación inicial de su CXone sistema, hay pasos adicionales a considerar. Recomendamos leer las siguientes páginas de ayuda en línea que incluyen estas consideraciones:

Complete cada una de estas tareas en el orden dado.

Antes de empezar, asegúrese de que tiene acceso a Okta. Deberá crear una aplicación.

Crear y configurar una aplicación de Okta con SAML 2.0

  1. Inicie sesión en su cuenta de gestión de Okta.
  2. Haga clic en menú de aplicaciones >Crear integración de aplicaciones.
  3. Seleccione SAML 2.0 como método y haga clic en Siguiente.
  4. Ingrese el nombre que desea usar para identificar esta integración y haga clic en próximo.
  5. Configurar SAML:
    1. Ingrese una URL de marcador de posición como https://cxone.niceincontact.com/need_to_change en el campo URL de inicio de sesión único. Cambiará este valor con la URL que reciba más tarde.
    2. Ingrese una URL de marcador de posición como https://cxone.niceincontact.com/need_to_change en el campo URI de audiencia. Cambiará este valor con el URI que reciba más adelante.
    3. Especifique el formato de ID de nombre y el Nombre de usuario de la aplicación para que se correspondan con la manera en que desea identificar a sus usuarios en CXone.
    4. Haga clic en Mostrar configuración avanzada.
    5. CambioFirma de afirmación aNo firmado. Deje Respuesta firmado.
    6. Asegurarse de que Cifrado de aserciones es Sin cifrar.
  6. Haga clic en próximo, complete los comentarios y luego haga clic en Finalizar en la pestaña Comentarios.
  7. Haga clic en Ver instrucciones de configuración de SAML para abrir una nueva pestaña, luego:
    1. Haga clic en Descargar certificado para descargar el certificado de firma. Guarde este archivo para su CXone configuración.
    2. Copie el URL de inicio de sesión único del proveedor de identidad. Guarde esta URL para su CXone configuración.
    3. Cierre la pestaña Instrucciones de configuración de SAML. Deje abierta la pestaña Configurar SAML. Realizará cambios en su configuración en función dela configuración de CXone que obtendrá a continuación.

Configurar un autenticador de inicio de sesión de CXone con SAML 2.0

Permisos requeridos: Autenticador de inicio de sesión Crear

  1. Haga clic en el selector de aplicaciones y seleccioneAdmin.
  2. Haga clic en Autenticador de inicio de sesión.
  3. Haga clic en Crear nuevo.
  4. Introduzca el Nombre y la Descripción del autenticador de inicio de sesión.
  5. Seleccione SAML2 como el Tipo de autenticación .
  6. Introduzca la URL de inicio de sesión único del proveedor de identidad que recibió de Okta como la URL de terminal. En el último paso de la tarea anterior puede consultar más detalles.
  7. Haga clic en Elija el archivo y seleccione el certificado de firma pública que descargó Okta en la tarea anterior. Este certificado debe ser un archivo PEM. Será un archivo de texto y la primera línea contendrá BEGIN CERTIFICATE con algún otro texto.
  8. Haga clic en Guardar y activar.
  9. Abra el autenticador de inicio de sesión.

  10. Notará que se muestran dos campos adicionales de solo lectura: el Identificador de entidad y la URL de ACS. Tome nota de estos valores. Los necesitará en la tarea Agregar valores de CXone a la tarea de Okta

Configurar una aplicación de Okta con OpenID Connect

  1. Inicie sesión en su cuenta de gestión de Okta.
  2. Haga clic en menú de aplicaciones >Crear integración de aplicaciones.
  3. Seleccione OIDC - OpenID Connect como el Método de inicio de sesión.
  4. Seleccione Aplicación web como el Tipo de aplicación y haga clic en Siguiente.
  5. En el campo Nombre de integración de la app, escriba el nombre que quiera usar para identificar a esta integración.
  6. Deberá indicar un URI de redireccionamiento de inicio de sesión, que todavía no conoce. Use https://cxone.niceincontact.com/need_to_change como marcador de posición. Cambiará este valor con el URI que reciba más adelante.
  7. Quizás deba indicar un URI de redireccionamiento de cierre de sesión, que todavía no conoce. Use https://cxone.niceincontact.com/need_to_change como marcador de posición. Cambiará este valor con el URI que reciba más adelante.
  8. En el menú desplegable Acceso controlado, seleccione Omitir la asignación de grupo por ahora.
  9. Haga clic en Guardar.
  10. En la pestaña General, dentro de Credenciales de cliente, seleccione Autenticación del cliente.
  11. Seleccione uno de los siguientes métodos de autenticación:
    1. Client_secret_basic:: Las credenciales de cliente se transmiten en un encabezado básico durante la autenticación. Después de seleccionar este método, configure lo siguiente:
      1. Seleccione Autenticación del cliente como el Secreto del cliente.
      2. Copie la ID de cliente y el Secreto del cliente y péguelos en un lugar seguro de su dispositivo. Los necesitará al configurar un autenticador de inicio de sesión en CXone.
    2. client_secret_post:: Las credenciales de cliente se transmiten en un cuerpo durante la autenticación. Después de seleccionar este método, configure lo siguiente:
      1. Seleccione Autenticación del cliente como el Secreto del cliente.
      2. Copie la ID de cliente y el Secreto del cliente y péguelos en un lugar seguro de su dispositivo. Los necesitará al configurar un autenticador de inicio de sesión en CXone.
    3. client_secret_jwt: Se usan tokens de portador JWT para la autenticación del cliente. Después de seleccionar este método, configure lo siguiente:
      1. Seleccione Autenticación del cliente como el Secreto del cliente.
      2. Copie la ID de cliente y el Secreto del cliente y péguelos en un lugar seguro de su dispositivo. Los necesitará al configurar un autenticador de inicio de sesión en CXone.
    4. private_key_jwt: Se usan tokens de portador JWT para la autenticación del cliente. El JWT está firmado por la Clave privada del cliente que usted indicará en los pasos siguientes. Después de seleccionar este método, configure lo siguiente:
      1. Seleccione Autenticación del cliente como la Clave pública/Clave privada.
      2. Ingrese una clave pública de marcador de posición en el campo Agregar clave pública. Deberá reemplazar el marcador de posición con la clave que le suministre CXone cuando configure su autenticador de inicio de sesión.
  12. En la pestaña Asignaciones, haga clic en Asignar y, después, haga clic en Asignar a personas.
  13. Asigne usuarios a esta aplicación.

Configurar un autenticador de inicio de sesión con OpenID Connect en CXone

  1. Haga clic en el selector de aplicaciones y seleccioneAdmin

  2. Haga clic en Autenticador de inicio de sesión.

  3. Haga clic en Crear nuevo o seleccione el autenticador de inicio de sesión que desea editar.
  4. Introduzca el Nombre y una Descripción para el autenticador de inicio de sesión.
  5. Seleccione OIDC como Tipo de autenticación .

  6. Si desea exigir que los usuarios inicien sesión desde una dirección IP determinada, seleccione la Ubicación que configuró en la sección anterior.

  7. Si tiene un terminal de descubrimiento de Okta, haga clic en Descubrir ajustes. Ingrese su punto final de descubrimiento y haga clic en Descubrir. Los campos restantes se completan automáticamente. Descubrir ajustes no funciona con los terminales de descubrimiento de Fuerza de ventas.
  8. Entre su Identificador de cliente y Contraseña del cliente. Vuelva a escribir la contraseña enCliente Confirmar Contraseña. El Identificador de cliente es la ID de inicio de sesión que Okta asignó a su cuenta.

  9. Si no tiene un terminal de descubrimiento de su Okta, ingrese los siguientes datos proporcionados por su Okta: Emisor, Terminal JsonWebKeySet, Terminal de autorización ,Terminal de token ,Terminal de información de usuario y Terminal de revocación.

    Campo

    Detalles
    Emisor

    URL de Okta sin ningún parámetro.
    Terminal JsonWebKeySet La URL del Conjunto de JWK de Okta.
    Terminal de autorización La URL del Terminal de autorización 2.0 OAuth de Okta.
    Terminal de señal La URL del Terminal de token 2.0 OAuth de Okta.
    Terminal de información de usuario La URL del Terminal de información de usuario de Okta.
    Terminal de revocación La URL del Terminal de revocación de Okta.
  10. Seleccione un Método de autenticación del cliente. El método que seleccione debe coincidir con lo que había configurado en la tarea anterior. Debe ser un método de autenticación que sea compatible con Okta. Si selecciona private_key_jwt, debe seleccionar Activar cifrado e ingresar su Clave de verificación para certificación del cliente.
  11. Puede seleccionar Habilitar perfil FICAM para activar la configuración específica del gobierno de los Estados Unidos. Este paso es solo para usuarios de FedRAMP.
  12. Haga clic en Crear autenticador de inicio de sesión para validar la información proporcionada y vincular su cuenta de CXone con la cuenta de su Okta.
  13. Abra el autenticador de inicio de sesión.

  14. Tome nota de la URI de redireccionamiento de inicio de sesión y la URI de redireccionamiento de cierre de sesión. Las necesitará para actualizar su configuración de Okta.

  15. Actualice su configuración de Okta, reemplazando los marcadores de posición utilizados en la tarea anterior con los valores que acaba de anotar.

  16. Verifique que la Identidad externa de CXone para cada usuario que utiliza el autenticador de inicio de sesión tenga definido el valor correcto.

    Okta determina el valor que se debe utilizar. Puede encontrarlo en el perfil del usuario en Okta. El valor debe coincidir exactamente con lo que puso en el campo Identidad externa en CXone. El valor de este campo debe tener este formato: claim(email):{correo electrónico configurado por su IdP}. Por ejemplo, si el correo electrónico del usuario en el IdP es nick.carraway@classics.com, debe escribir claim(email):nickcarraway@classics.com.

  17. Haga que el usuario inicie sesión en CXone. Debe usar la URL de inicio de sesión más reciente. Después de ingresar su nombre de usuario, serán dirigidos a Okta si es necesario.

  18. Cuando Okta le solicite que autentique su propia cuenta, hágalo como el usuario que desea asociar con su cuenta de CXone que tiene una sesión activa en este momento.
  19. Si su configuración de OpenID Connect en CXone no aparece como validada, use los registros de Okta para diagnosticar el problema.

Asignar usuarios al autenticador de inicio de sesión

  1. Haga clic en el selector de aplicaciones y seleccioneAdmin.

  2. Haga clic en Usuarios.

  3. Seleccione el usuario que desea asignar al autenticador de inicio de sesión o haga clic en Crear nuevo para crear un nuevo usuario.

  4. En la pestaña General, haga clic en Editar.

  5. En la sección Seguridad, seleccione el autenticador de inicio de sesión que creó anteriormente en el menú desplegable Autenticador de inicio de sesión.

  6. Haga clic en Aceptar.

Agregue CXone valores a Okta

  1. Regrese a su aplicación Okta y vaya a la pestaña General.
  2. Haga clic en Editar en la ventana Configuración de SAML, luego haga clic en próximo.
  3. Para URL de inicio de sesión único, introduzca el URL de ACS valor de su CXone autenticador de inicio de sesión.
  4. Para URI de audiencia (ID de entidad de SP), introduzca la identificación de la entidad valor de su CXone autenticador de inicio de sesión.
  5. Haga clic en próximo, luego haga clic en Finalizar para completar el cambio.

Verificar el acceso de usuario con Inicio de sesión único de Okta

  1. Asegúrese de que la Identidad externa para cada usuario quién utiliza el autenticador de inicio de sesión se establece en el valor correcto. El valor debe coincidir exactamente Identidad federada en CXone. El campo Identidad externa distingue entre mayúsculas y minúsculas.

  2. Haga que uno o más usuarios de prueba inicien sesión con la URL de inicio de sesión más reciente, https://cxone.niceincontact.com. Para FedRAMP, utilice https://cxone-gov.niceincontact.com. Después de ingresar su nombre de usuario, serán dirigidos a Okta si es necesario.

  3. Cuando esté listo, implemente el inicio de sesión único de Okta para todos los usuarios.