Gérer la fédération avec Azure

Azure n'est qu'un des fournisseurs d'identité externes (IdP) pris en charge que vous pouvez utiliser avec CXone. Cette page vous guide, étape par étape, dans la configuration de l'authentification pour votre CXone système à l'aide de Azure.

Si vous effectuez la mise en œuvre initiale de votre CXone système, il y a des étapes supplémentaires à considérer. Nous vous recommandons de lire les pages d'aide en ligne suivantes qui incluent ces considérations :

Effectuez chacune de ces tâches dans l’ordre indiqué.

Avant de commencer, assurez-vous d’avoir accès à la console de gestion des ID Microsoft Azure. Vous devrez créer une application.

Créer et configurer une application Azure avec SAML 2.0

  1. Connectez-vous à votre compte de gestion AD Azure.
  2. Créer une application.
    1. Cliquez sur Applications de l’entreprise > Nouvelle application.
    2. Cliquez sur Créer votre propore application.
    3. Entrez un Nom (par exemple, NICE CXone).
    4. Sélectionnez Intégrez toute autre application que vous ne trouvez pas dans la galerie (hors galerie).
    5. Cliquez sur Créer.
  3. Attribuez des utilisateurs et des groupes selon les besoins.
  4. Sous Configurer l’authentification unique, cliquez sur Commercer puis sélectionnez SAML.
  5. Dans le panneau Configuration SAML de base, cliquez sur Modifier et configurez SAML : 
    1. Sous Identifiant (ID d’entité), cliquez sur Ajouter identifiant et entrez https://cxone.niceincontact.com/need_to_change. Vous remplacerez cette valeur par l’URL que vous recevrez ultérieurement.
    2. Sous l’URL de réponse, cliquez sur Ajouter une URL de réponse et dans le champ URL d’audience, entrez https://cxone.niceincontact.com/need_to_change. Vous remplacerez cette valeur par l’URI que vous recevrez ultérieurement.
  6. Cliquez sur Enregistrer et fermez le panneau Configuration SAML de base.
  7. Dans la section Attributs et réclamations, sélectionnez le bon Identifiant d’utilisateur unique. La valeur que vous choisissez sera l’Identité fédérée, l’ dans CXone.
  8. Azure AD devrait créer automatiquement un certificat de signature SAML. Téléchargez le certificat appelé Certificat (Base64).
  9. Dans le panneau Certificat de signature SAML, cliquez sur Mondifier et ensuite :
    1. Modifiez l’Option de signature à Signer la réponse SAML.
    2. Cliquez sur Enregistrer et fermez le panneau Certificat de signature SAML. Conservez ce fichier pour votre CXone configuration.
  10. Dans le panneau de configuration <application name>, copiez la valeur URL de connexion. Conservez ceci pour votre configuration CXone.
  11. Gardez votre fenêtre ouverte. Vous apporterez des modifications aux paramètres de votre application Azure en fonction des valeurs que vous recevez dans la tâche suivante.

Configurer un authentificateur de connexion avec SAML 2.0 dans CXone

Autorisations requises : Création d’authentificateur de connexion

  1. Cliquez sur le sélecteur d’applications et sélectionnezAdmin.
  2. Cliquez sur Sécurité > Authentificateur de connexion.
  3. Cliquez sur Créer nouveau.
  4. Entrez le Nom et la Description de l’authentificateur de connexion.
  5. Sélectionnez SAML2 comme type d’authentification.
  6. Entrez le Terminal de requête SAML que vous avez reçu de Azure comme l’URL du terminal.
  7. Cliquez sur Choisir un fichier et sélectionnez le certificat de signature public que vous avez téléchargé de Azure à la tâche précédente. Ce fichier doit être un fichier PEM. Il s’agira d’un fichier texte dont la première ligne contiendra BEGIN CERTIFICATE et du texte supplémentaire.
  8. Cliquez sur Créer un authentificateur de connexion.
  9. Ouvrez l’authentificateur de connexion.

  10. Vous remarquerez que deux champs supplémentaires en lecture seule sont affichés, l’ID de l’entité et l’URL de l’assertion. Prenez ces valeurs en note. Vous en aurez besoin dans la tâche Ajouter des valeurs CXone à Azure.

Affecter des utilisateurs à l’authentificateur de connexion

  1. Cliquez sur le sélecteur d’applications et sélectionnezAdmin.

  2. Cliquez sur Utilisateurs.

  3. Sélectionnez l’utilisateur que vous souhaitez affecter à l’authentificateur de connexion ou cliquez sur Créer nouveau pour créer un nouvel utilisateur.

  4. Sous l'onglet Général, cliquez sur Modifier.

  5. Dans la section Sécurité, sélectionnez l’authentificateur de connexion que vous avez créé précédemment dans la liste déroulante Authentificateur de connexion.

  6. Cliquer sur Terminé.

Ajoutez CXone Valeurs à Azure

  1. Revenez à votre application Azure et sur le panneau Configuration SAML de base, cliquez sur Modifier.
  2. Pour l’identifiant (ID d’entité), entrez la valeur de l’ID d’entité depuis votre authentificateur de connexion CXone.
  3. Pour URL de réponse, saisissez la valeur de l’URL d’assertion de votre authentificateur de connexion CXone.
  4. Cliquez sur Enregistrer et fermez le panneau Configuration SAML de base.

  5. Assurez-vous que l’Identité externe pour chaque utilisateur qui utilise l’authentificateur de connexion est défini par la valeur correcte.

    1. Votre fournisseur d’identité détermine la valeur qui doit être utilisée. La valeur doit correspondre exactement à l’Identifiant d’utilisateur unique dans Azure et l’Identité externe dans CXone.

  6. Demandez à l’utilisateur de se connecter à pour CXone. Ils doivent utiliser la dernière version de CXone l’URL de connexion. Après avoir entré leur nom d’utilisateur, ils seront dirigés vers le fournisseur d’identité externe si nécessaire. CXone ne prend pas en charge un processus initié par IdP par l’intermédiaire d’Azure.

Vérifier l’accès des utilisateurs avec l’authentification unique Azure

  1. Assurez-vous que l’Identité externe pour chaque employé qui utilise l’authentificateur de connexion est défini par la valeur appropriée. La valeur doit correspondre exactement à l’Identifiant d’utilisateur unique dans Azure et l’Identité fédérée et l’ dans CXone.

  2. Demandez à un ou plusieurs utilisateurs test de se connecter en utilisant la dernière CXone URL de connexion. Après avoir entré leur nom d’utilisateur, ils seront dirigés vers Azure si nécessaire.

  3. Lorsque vous êtes prêt, déployez l’authentification unique Azure pour tous les utilisateurs.

Configurer une application Azure avec OpenID Connect

  1. Connectez-vous à votre compte de gestion Azure.

  2. Sous Enregistrements d’applications, cliquez sur Nouvel enregistrement.

  3. Accédez à Authentification > Web.

  4. Vous devrez fournir les URI de redirection, que vous ne connaissez pas encore à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme espace réservé.

  5. Cliquez sur Certificats et secrets.

  6. Sélectionnez client_secret_basic ou client_secret_post comme méthode d’authentification. La méthode d’authentification, private_key_jwt n’est pas prise en charge actuellement dans CXone.

  7. Dans le champ Secrets client, sélectionnez Nouveau secret client.

  8. Ajoutez une description et sélectionnez Expire.

  9. Copiez l’ID du client et le Secret client et collez-les à un emplacement sécurisé sur votre appareil. Vous devrez les utiliser lorsque vous configurerez un authentificateur de connexion dans CXone.

  10. Accédez à Configuration du jeton > Revendications optionnelles.

  11. Cliquez sur Ajouter une revendication optionnelle.

  12. Sélectionnez ID comme type de jeton.

  13. Sélectionnez email et ajoutez votre adresse courriel.

  14. Cliquez sur Enregistrer.

Configurer un authentificateur de connexion CXone avec OpenID Connect

  1. Cliquez sur le sélecteur d’applications et sélectionnezAdmin.

  2. Cliquez sur Authentificateur de connexion.

  3. Cliquez sur Créer nouveau ou sélectionnez l’authentificateur de connexion que vous souhaitez modifier.
  4. Saisissez un nom et une description pour l’authentificateur de connexion.
  5. Sélectionnez OIDC comme type d’authentification.
  6. Si vous disposez d’un terminal de découverte de Azure, cliquez sur Paramètres de découverte. Entrez votre terminal de découverte et cliquez sur Découvrir. Les champs restants sont remplis pour vous. L’option Paramètres de découverte ne fonctionne pas avec les terminaux de découverte Salesforce.
  7. Entrez votre Identifiant client et Mot de passe client. Saisissez à nouveau le mot de passe dans Confirmer le mot de passe du client. L’identifiant du client est l’ID de connexion attribué à votre compte par Azure.

  8. Si vous n’avez pas de terminal de découverte de Azure, saisissez l’émetteur, le terminal JsonWebKeySet, le terminal d’autorisation, le terminal du jeton, le terminal UserInfo, le terminal de révocation et le terminal de session final fournis par Azure.

    Champ

    Détails
    Émetteur

    URL de Azure sans aucun paramètre.
    Terminal JsonWebKeySet L’URL de l’ensemble JWK de Azure.
    Terminal d’autorisation L’URL du terminal d’autorisation OAuth 2.0 de Azure.
    Terminal du jeton L’URL du terminal du jeton OAuth 2.0 de Azure.
    Terminal UserInfo L’URL du terminal UserInfo de Azure.
    Terminal de révocation L’URL du terminal de révocation de Azure.
    Terminal de session final

    L’URL du terminal de session final de Azure. Ce champ vous permet de créer une expérience de déconnexion unique pour vos utilisateurs. Si cette option est configurée, en se déconnectant de CXone, ils seront également déconnectés de leur compte Azure. Pour que la déconnexion unique fonctionne, vous devez mettre sur liste blanche l’URI de redirection de déconnexion dans Azure.

    Si Salesforce est votre IdP, vous devez configurer une URL de déconnexion dans Salesforce. Pour ce faire, accédez à Paramètres > Sécurité > Paramètres de session > Paramètres de la page de déconnexion. Mettez à jour le champ URL de déconnexion. Vous utiliserez cette URL comme terminal de session final.
  9. Sélectionnez une méthode d’authentification client. La méthode que vous sélectionnez doit correspondre à celle que vous avez définie dans la tâche précédente. Il doit s’agir d’une méthode d’authentification prise en charge par Azure.
  10. Vous pouvez sélectionner Activer le profil FICAM pour activer les paramètres spécifiques au gouvernement américain. Cette étape est réservée aux utilisateurs FedRAMP.
  11. Cliquez sur Créer l’authentificateur de connexion pour valider les informations fournies et lier votre compte CXone à votre compte Azure.
  12. Ouvrez l’authentificateur de connexion.

  13. Notez l’URI de redirection de connexion et l’URI de redirection de de déconnexion. Vous en aurez besoin lorsque vous mettrez à jour vos paramètres Azure.

  14. Mettez à jour vos paramètres Azure en remplaçant les espaces réservés utilisés dans la tâche précédente par les valeurs que vous venez de noter.

  15. Assurez-vous que l’identité externe CXone pour chaque utilisateur qui utilise l’authentificateur de connexion est définie par la valeur correcte.

    Azure détermine la valeur à utiliser. Il se trouve dans le profil de l’utilisateur dans Azure. La valeur doit correspondre exactement à ce que vous avez mis dans le champ Identité externe dans CXone. La valeur de ce champ doit avoir le format suivant : claim(email):{adresse courriel configurée par votre IdP}. Par exemple, si l’adresse courriel de l’utilisateur dans l’IdP est nick.carraway@classics.com, vous devez saisir claim(email):nickcarraway@classics.com.

  16. Demandez à l’utilisateur de se connecter à CXone. Il doit utiliser l’URL de connexion la plus récente. Après avoir saisi son nom d’utilisateur, il sera dirigé vers Azure si nécessaire.

  17. Lorsque Azure vous demande d’authentifier votre propre compte, faites-le en tant qu’utilisateur dans le Azure que vous souhaitez associer à votre compte CXone actuellement connecté.
  18. Si vos paramètres OpenID Connect dans CXone n’apparaissent pas comme validés, utilisez les journaux de Azure pour diagnostiquer le problème.