Autenticación y Autorización en CXone

Esta página proporciona información específica sobre cómo funcionan la autenticación y la autorización enCXone. Si es la primera vez que trabaja con estos conceptos, deberíaobtener una comprensión básica de ideas y terminología de autenticación y autorización primero.

Una vez que haya revisado este material, estará listo para:

Cuando los usuarios inician sesión en cualquier paquete de aplicaciones, incluidos CXone, estos dos pasos suelen ocurrir en el orden que se muestra:

  • Autenticación—¿Es el usuario quien dice ser?
  • Autorización—¿Debería el usuario autenticado tener el acceso que ha solicitado?

Todos los usuarios deben estar autenticados y autorizados antes de poder acceder CXone.

Los usuarios pueden ser personas o aplicaciones. Por ejemplo, los chatbots y los asistentes virtuales a menudo se ejecutan mediante una cuenta de usuario. La mayoría de los conjuntos de aplicaciones utilizan los mismos procesos para usuarios humanos y virtuales. En estas páginas de ayuda en línea sobre autenticación y autorización, hemos utilizado el términousuario para aplicar tanto a las personas como a las aplicaciones. Si hay diferencias, se explican claramente.

La autenticación puede ser complicada de configurar y difícil de probar y validar. Para configurar la autenticación enCXone, necesitas entender:

  • Cómo funciona la autenticación enCXone

  • el incorporadoCXone proveedor de identidad

  • Proveedores de identidad externos

  • Diferencias entre la autenticación de usuarios humanos y usuarios de aplicaciones

También necesita saber cómo funciona la autorización en elCXone plataforma.

Esta ilustración muestra cómoCXone autentica y autoriza a los usuarios:

  1. Un usuario accedeCXone a través de un navegador web compatible.

  2. CXonepide las credenciales de inicio de sesión del usuario.

  3. El usuario proporciona las credenciales.

  4. CXonelos verifica con un proveedor de identidad (IdP). CXonetiene su propio IdP integrado, pero también puede funcionar con unproveedor de identidad externo.

  5. Una vez autenticado el usuario, elCXone El servidor de autorización proporciona acceso a laCXone plataforma. CXoneno admite sistemas de autorización externos.

Autenticación mediante el proveedor de identidad incorporado

el incorporadoCXone IdP autentica a los usuarios con un nombre de usuario y una contraseña. Cada nombre de usuario debe ser único para su organización. Opcionalmente, puede agregar autenticación multifactor (MFA) para una capa de seguridad adicional.

Usuarios de la aplicación

A veces, las aplicaciones necesitan acceso aCXone características y funcionalidad. CXonetrata estas aplicaciones, como bots y asistentes virtuales interactivos (IVA), como usuarios. Los usuarios de la aplicación solo son compatibles con la autenticación integrada. Además, los usuarios de la aplicación no utilizan autenticadores de inicio de sesión. En su lugar, utilizan claves de acceso.

Inicio de sesión de usuario con autenticación integrada

Los usuarios primero ven una pantalla que solicita su nombre de usuario. Hasta queCXone conoce el nombre de usuario, no puede solicitar credenciales adicionales. CXonesolo puede solicitar contraseñas o tokens MFA una vez que sabe qué usuario está iniciando sesión.

CXone pantalla de inicio de sesión inicial, donde los usuarios ingresan su nombre de usuario

Después de que el usuario ingrese su nombre de usuario y haga clicSIGUIENTE, una nueva ventana solicita la contraseña del usuario. Una vez que el usuario ingresa su contraseña correcta y hace clicRegistrarse,CXone autentica al usuario y le otorga acceso al sistema.

CXone segunda pantalla de inicio de sesión, donde los usuarios ingresan su contraseña

Esta ventana se ve ligeramente diferente parausuarios que están configurados para usar MFA. Después de que el usuario ingrese su nombre de usuario y haga clicSIGUIENTE, una nueva ventana solicita la contraseña del usuario y el token MFA. Una vez que el usuario ingresa su contraseña correcta y un token válido, hace clic enRegistrarse. CXoneautentica al usuario y le otorga acceso al sistema.

Pantalla de entrada de contraseña de empleado enCXone cuando campos específicos de MFA

Gestión de contraseñas con autenticación integrada

Los criterios de contraseña se pueden personalizar con autenticadores de inicio de sesión. Con un autenticador de inicio de sesión, puede controlar:

  • Número de caracteres requeridos en una contraseña

  • Tipos de caracteres requeridos en una contraseña

  • Número de días antes de que el usuario tenga que restablecer su contraseña

  • Número de intentos de contraseña incorrectos permitidos antes de que se bloquee la cuenta

  • Número de contraseñas queCXone recuerda, lo que evita que los usuarios reutilicen esas contraseñas

Las contraseñas no son visibles enCXone. Por motivos de privacidad y seguridad, las contraseñas se mantienen internamente y solo se pueden cambiar mediante un flujo de contraseña olvidada o de reenvío de contraseña. Los usuarios pueden utilizar elenlace en la pantalla de inicio de sesión de contraseña y siga las instrucciones en pantalla. Los usuarios recibirán un correo electrónico que indicará si su contraseña ha cambiado.

CXoneviene con un autenticador de inicio de sesión predeterminado que puede usar si no necesita autenticadores de inicio de sesión personalizados. Todavía debe asignar este autenticador predeterminado alusuarios quieres usarlo.

Puede configurar tantos autenticadores de inicio de sesión personalizados como desee. Por ejemplo, puede requerir contraseñas más complejas para los usuarios que tienen acceso a información valiosa. Cada vez que desee hacer un requisito de autenticación diferente para una cuenta de usuario, deberá crear un nuevo autenticador de inicio de sesión. Los cambios en los autenticadores se aplican a los usuarios asignados la próxima vez que inicien sesión.

También puede configurarautenticación multifactor (MFA) con autenticadores de inicio de sesión personalizados. MFA aumenta su seguridad al agregar otra capa de autenticación. Por ejemplo, puede hacer que sus usuarios se autentiquen con un nombre de usuario y una contraseña. Luego, puede hacer que se autentiquen nuevamente con un código enviado a sus dispositivos móviles. Estos códigos se conocen normalmente como tokens MFA, incluso cuando no se trata de un token físico.

CXoneadmite los dos tipos principales de MFA:

  • basado en el tiempo—típicamente utilizado por autenticadores de software como Google
  • basado en contador—típicamente utilizado por tokens de hardware

Puede habilitar MFA para autenticadores de inicio de sesión con una sola casilla de verificación. Sin embargo, la información específica sobre los usuarios, su configuración de MFA y sus identidades se mantiene en la cuenta de empleado individual.

Los autenticadores de inicio de sesión y los perfiles de seguridad están completamente separados. Esto significa que el método de autenticación de un empleado no tiene relación con lo que puede acceder enCXone.

Registro de empleados enCXone mostrando el botón Clear MFA Secret

Autenticación mediante un proveedor de identidad externo

Cuando inicia sesión en un sistema con una cuenta de otro sitio, está utilizando autenticación externa. Por ejemplo, puede iniciar sesión en una aplicación en su teléfono con su cuenta de Google.

La autenticación externa, a veces denominada federación, utiliza un proveedor de identidad (IdP) externo para ayudar a autenticar a los usuarios. losIdP externo trabaja con elCXone proveedor de identidad para autenticar al usuario. Para trabajar juntos, ambos IdP se basan enprotocolos de autenticación.

IdP externos

CXonees compatible con proveedores de identidad de servicios alojados y en la nube.

Debe estar familiarizado con su proveedor de identidad. De lo contrario, trabaje con el equipo de su empresa que gestiona la autenticación. Establecer una federación puede ser difícil si no se involucran las personas adecuadas. Su organización puede haber establecido procesos para integrar sistemas comoCXone con su proveedor de identidad. Seguir estos procesos y satisfacer sus necesidades específicas de seguridad es su responsabilidad. losNICE CXone El equipo está aquí para apoyarte en el camino.

Protocolos de autenticación

Los protocolos de autenticación establecen comunicación y confianza entre diferentes IdP. CXoneadmite estos protocolos de autenticación:

  • OpenID Connect
  • SAML 2.0

OpenID Connect tiene más características y es más fácil de soportar. Beneficios incluidos:

  • Tecnología estándar de la industria

  • Permite una integración perfecta de IdP que es transparente para los usuarios

  • Habilita una gama de opciones de autenticación multifactor (MFA)

  • Base escalable para un modelo de servicio de plataforma

OpenID Connectvalida las autenticaciones con la firma de certificados públicos/privados utilizando un estándar de la industria llamado JWKS. Por lo tanto,OpenID Connect La configuración determina cómo se obtienen los certificados públicos. La confianza con el emisor del certificado se establece mediante un identificador de cliente y un secreto.

SAML 2.0 es una tecnología más antigua que puede causar problemas de integración. Sin embargo, en la actualidad es más utilizado queOpenID Connect. Su organización puede tener pautas sobre qué protocolo debe usarse. En general, ambos ofrecen una experiencia de usuario similar y un nivel de seguridad subyacente.

Ambas cosasOpenID Connect ySAML 2.0 flujo de autenticación iniciado por el proveedor de servicios de soporte (SP). Este es un flujo familiar y el modelo utilizado por muchas aplicaciones y sitios web. La experiencia de usuario es:

  • Los usuarios ingresan sus credenciales enCXone (es decir, inician sesión).
  • CXoneutiliza su IdP incorporado para comunicarse con su IdP externo para verificar la identidad del usuario.
  • CXoneutiliza su autorización integrada para verificar los niveles de acceso del usuario autenticado.
  • CXoneproporciona acceso correcto al usuario autenticado y autorizado.

SAML 2.0también es compatible con el flujo iniciado por el proveedor de identidad (IdP) menos común. En este flujo, su usuario ingresa sus credenciales con su proveedor de identidad. Luego, el proveedor de identidad lanzaCXone.

Para SAML 2.0, CXone solo admite firmar el mensaje/respuesta, no la afirmación.

Los flujos iniciados por IdP son válidos para aplicaciones individuales, no para todo el paquete de CXone. Por ejemplo, puede usar este flujo para iniciar las aplicaciones de la interfaz de usuario principal, pero no puede usarlo para iniciar otras aplicaciones como Studio. Para que todo el paquete funcione sin problemas, se necesita el flujo iniciado por el SP.

Sus usuarios pueden estar familiarizados con uno o ambos de estos flujos de autenticación. Si utilizaSAML 2.0, entonces sea consciente de las limitaciones que presenta cada flujo. Estos se discuten más en la siguiente sección. OpenID Connectsiempre utiliza el flujo iniciado por SP.

CXoneno admite el cifrado adicional que ofrecen algunos protocolos de autenticación.

Los detalles de configuración difieren según el IdP y el protocolo de autenticación que elija. No es posible cubrir todas las combinaciones posibles de IdP y protocolos de autenticación, pero en la siguiente información se analizan algunos escenarios comunes.

Evaluar la combinación

losCXone suite no admite todas las combinaciones de aplicación, IdP externo y protocolo de autenticación. En algunos casos, el soporte no existe. En otros casos, existen limitaciones con soluciones alternativas. Es difícil mostrar problemas potenciales para cada combinación y escenario, por lo que debe realizar una configuración de prueba con su proveedor de identidad. Su prueba debe tener en cuenta sus diferentes casos de uso y flujos de usuarios. La siguiente tabla puede ayudar a guiar su evaluación.

CXone Solicitud desplazado interno externo Protocolo de autenticación Limitaciones y soluciones
CXonePlataforma y todas las aplicaciones Todos Todos No admite el cifrado de reclamaciones.
CXonePlataforma y todas las aplicaciones Todos SAML 2.0 Solo se admite la firma de mensajes. El certificado público debe incluirse en la respuesta.
CXone Plataforma Azure AD SAML 2.0 Solo se admite el flujo iniciado por IdP.

Solo las aplicaciones web principales admiten el flujo de SAML 2.0 iniciado por IdP. Los usuarios que necesiten acceso a Studio o a las diversas aplicaciones de agente deben usar la autenticación integrada o un flujo iniciado por el SP.

Establecer confianza

Los proveedores de identidad deben confiar entre sí antes de poder comunicarse. Cada proveedor debe tener información sobre el otro. La información que se requiere depende del protocolo de autenticación. La forma en que se obtiene la información depende del IdP.

Confiar enOpenID Connect

Su Representante de cuenta CXone trabajará con usted para configurar una relación de confianza entre su CXone unidad de negocioCerrado Agrupación organizativa de alto nivel utilizado para administrar el soporte técnico, facturación y configuración global para su CXone entornotenant y su IdP externo usando OpenID Connect.

Confiar enOpenID Connect implica estos valores, que necesitará para configurar la relación:

  • Editor—Este valor siempre se parece a una URL. Los valores del emisor varían según su IdP externo, pero siempre se ven como una URL. Por ejemplo, Google puede funcionar como IdP externo y admiteOpenID Connect. El emisor de Google eshttps://cuentas.google.com. Muchos proveedores de IdP externos hacen que las URL de sus emisores sean detectables agregando ".well-known/openid-configuration" al final de la URL principal para el IdP. Esto a menudo le proporciona información valiosa adicional del IdP. La siguiente imagen muestra los tipos de información proporcionada de esta manera por Facebook enhttps://www.facebook.com/.well-known/openid-configuration:

    Un ejemplo de los tipos de información devueltos desde una URL de descubrimiento para el proveedor de identidad externo de Facebook. Esto incluye el emisor, el extremo y los tipos de respuesta y reclamos admitidos, entre otros.

  • Identificador de cliente: su IdP externo asigna este valor para que lo use conCXone. Durante la autenticación, permite que el IdP sepa qué aplicación está intentando autenticarse.
  • Secreto del cliente: este valor garantiza que la autenticación sea segura y ayuda a garantizar que los agentes maliciosos no puedan usar el IdP externo para autenticarse e ingresar a su CXone unidad de negociotenant. CXonesolo admite client_secret_basic y client_secret_post.

Confiar enSAML 2.0

Hay varios parámetros de configuración que se utilizan para establecer la confianza conSAML 2.0. Hable con su Representante de cuenta CXone para usar estos parámetros y crear una relación de confianza entre su CXone unidad de negocioCerrado Agrupación organizativa de alto nivel utilizado para administrar el soporte técnico, facturación y configuración global para su CXone entornotenant y su IdP externo.

Campo

Detalles
ID de entidad

Una ID única global no editable precargada que su IdP externo puede requerir que ingrese en su lado al usar elSAML 2.0 protocolo. El IdP lo incluye como ID de entidad del emisor en elSAML 2.0 mensaje de solicitud Para algunos IdP, así como Okta y OneLogin, no es necesario configurar el identificador de entidad de su lado. Otros, como Salesforce, lo hacen.

URL de punto final

La URL del punto final proporcionada por su IdP.
URL de afirmación

Una URL no editable precargada que su IdP requiere para configurar cualquierSAML 2.0 caudal. Sirve como una URL de punto final para recibir y analizar una aserción de autenticación. Debe ingresar esta ID en la configuración de su IdP, generalmente en el campo URL de ACS. Algunos IdP lo llaman de otra manera que ACS. Por ejemplo, en la plantilla de Okta SAML 2.0, puede ingresar esta URL en el campo URL de inicio de sesión único.
Certificado Su IdP le proporcionará un certificado de seguridad.

Autenticación de Aplicaciones

Los usuarios y las aplicaciones se autentican de manera muy similar. La principal diferencia es que las aplicaciones se autentican con una clave de acceso mientras que los usuarios se autentican con un nombre de usuario y una contraseña. A diferencia de los usuarios, no se requiere que las aplicaciones interactúen a través de un navegador. Pueden funcionar en un entorno de back-office.

puedes crearun perfil de usuario para representar una aplicación en lugar de un usuario. Para ello, creaun perfil de usuario, asigne al perfil el nombre de la aplicación ycrear una clave de acceso. CXonegestiona la autenticación de las aplicaciones internamente. No se pueden autenticar con proveedores de identidad externos.

Autorización en CXone

La autorización es el proceso de verificar a qué recursos puede acceder un usuario. Los recursos pueden incluir aplicaciones, archivos y datos. Puede definir el acceso de los usuarios a los recursos conperfiles de seguridad. CXone gestiona la autorización de forma automática durante el proceso de inicio de sesión. Cuando se autentica a un usuario, se le da acceso solo a los recursos para los que está autorizado.

El método de autenticación de un usuario no afecta la autorización. CXone utiliza el mismo proceso de autorización para todos los usuarios. No importa si están autenticados con claves de acceso o contraseñas.