Gérer la fédération avec Okta

Okta n'est que l'un des fournisseurs d'identité externes (IdP) pris en charge que vous pouvez utiliser avec CXone. Cette page vous guide, étape par étape, dans la configuration de l'authentification pour votre CXone système en utilisant Okta.

Si vous effectuez la mise en œuvre initiale de votre CXone système, il y a des étapes supplémentaires à considérer. Nous vous recommandons de lire les pages d'aide en ligne suivantes qui incluent ces considérations :

• Authentification et autorisation dansCXone
• Configurer l'authentification et l'autorisation à l'aide d'Okta en tant que fournisseur d'identité externe

Avant de commencer, assurez-vous que vous avez accès à Okta. Vous devrez créer une application.

Créer et configurer une application Okta avec SAML 2.0

1. Connectez-vous à votre compte de gestion Okta.
2. Cliquez sur Menu Applications > Créer une intégration d’application.
3. Sélectionnez SAML 2.0 comme méthode et cliquez sur Suivant.
4. Saisissez le nom que vous souhaitez utiliser pour identifier cette intégration, puis cliquez sur Suivant.
5. Configurer SAML :
   1. Saisissez une URL de remplacement telle que https://cxone.niceincontact.com/need_to_change dans le champ URL d’authentification unique. Vous remplacerez cette valeur par l’URL que vous recevrez ultérieurement.
   2. Saisissez une URL de remplacement telle que https://cxone.niceincontact.com/need_to_change dans le champ URI d’audience. Vous remplacerez cette valeur par l’URI que vous recevrez ultérieurement.
   3. Spécifiez le format d’ID de nom et le nom d’utilisateur de l’application pour correspondre à la façon dont vous voulez identifier vos utilisateurs dans CXone.
   4. Cliquez sur Voir les paramètres avancés.
   5. Modifiez la Signature d’assertion par non signée. Laissez la Réponse comme Signée.
   6. Assurez-vous que Chiffrement des assertions est Non chiffré.
6. Cliquez sur Suivant, complétez les commentaires, puis cliquez sur Terminer sous l’onglet Commentaires.
7. Cliquez sur Voir les instructions de configuration SAML pour ouvrir un nouvel onglet, puis :
   1. Cliquez sur Télécharger un certificat afin de télécharger le certificat de signature. Conservez ce fichier pour votre CXone configuration.
   2. Copiez l’URL d’authentification unique du fournisseur d’identité. Conservez cette URL pour votre CXone configuration.
   3. Fermez l’onglet Instructions de configuration SAML. Laissez l’onglet Configurer SAML ouvert. Vous modifierez votre configuration en fonction des paramètres CXone que vous obtiendrez ensuite.

Configurer un authentificateur de connexion CXone avec SAML 2.0

Autorisations requises : Création d’authentificateur de connexion

1. Cliquez sur le sélecteur d’applications et sélectionnezAdmin.
2. Cliquez sur Authentificateur de connexion.
3. Cliquez sur Créer nouveau.
4. Entrez le Nom et la Description de l’authentificateur de connexion.
5. Sélectionnez SAML2 comme type d’authentification.
6. Saisissez l’URL de connexion unique du fournisseur d’identité que vous avez reçue de Okta en tant qu’URL du terminal. Reportez-vous à la dernière étape de la tâche précédente pour plus de détails.
7. Cliquez sur Choisir un fichier et sélectionnez le certificat de signature public que vous avez téléchargé de Okta à la tâche précédente. Ce certificat doit être un fichier PEM. Il s’agira d’un fichier texte dont la première ligne contiendra BEGIN CERTIFICATE et du texte supplémentaire.
8. Cliquez sur Enregistrer et activer.
9. Ouvrez l’authentificateur de connexion.

10. Vous remarquerez que deux champs supplémentaires en lecture seule sont affichés : ID de l’entité et URL ACS. Prenez ces valeurs en note. Vous en aurez besoin dans la tâche Ajouter des valeurs CXone à Okta.

Configurer une application Okta avec OpenID Connect

1. Connectez-vous à votre compte de gestion Okta.
2. Cliquez sur Menu Applications > Créer une intégration d’application.
3. Sélectionnez OIDC - OpenID Connect comme méthode de connexion.
4. Sélectionnez Application Web comme Type d’application et cliquez sur Suivant.
5. Dans le champ Nom de l’intégration d’application, saisissez le nom que vous souhaitez utiliser pour identifier cette intégration.
6. Vous devrez fournir une URI de redirection de connexion que vous ne connaissez pas encore à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme espace réservé. Vous remplacerez cette valeur par l’URI que vous recevrez ultérieurement.
7. Vous devrez peut-être fournir une URI de redirection de déconnexion que vous ne connaissez pas encore à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme espace réservé. Vous remplacerez cette valeur par l’URI que vous recevrez ultérieurement.
8. Dans la liste déroulante Accès contrôlé, sélectionnez Ignorer l’assignation de groupe pour l’instant.
9. Cliquez sur Enregistrer.
10. Dans l’onglet Général sous Identifiants du client, sélectionnez Authentification du client.
11. Sélectionnez l’une des méthodes d’authentification suivantes :
    1. client_secret_basic : les identifiants du client sont transmis dans un en-tête de base lors de l’authentification. Après avoir sélectionné cette méthode, configurez les éléments suivants :
       1. Sélectionnez Authentification du client comme Secret client.
       2. Copiez l’ID du client et le Secret client et collez-les à un emplacement sécurisé sur votre appareil. Vous devrez les utiliser lorsque vous configurerez un authentificateur de connexion dans CXone.
    2. client_secret_post : les identifiants du client sont transmis dans un corps lors de l’authentification. Après avoir sélectionné cette méthode, configurez les éléments suivants :
       1. Sélectionnez Authentification du client comme Secret client.
       2. Copiez l’ID du client et le Secret client et collez-les à un emplacement sécurisé sur votre appareil. Vous devrez les utiliser lorsque vous configurerez un authentificateur de connexion dans CXone.
    3. client_secret_jwt : les jetons JWT sont utilisés pour l’authentification du client. Après avoir sélectionné cette méthode, configurez les éléments suivants :
       1. Sélectionnez Authentification du client comme Secret client.
       2. Copiez l’ID du client et le Secret client et collez-les à un emplacement sécurisé sur votre appareil. Vous devrez les utiliser lorsque vous configurerez un authentificateur de connexion dans CXone.
    4. private_key_jwt : les jetons JWT sont utilisés pour l’authentification du client. Le jeton JWT est signé par la clé privée du client que vous fournirez dans les étapes suivantes. Après avoir sélectionné cette méthode, configurez les éléments suivants :
       1. Sélectionnez Authentification du client comme Clé publique / Clé privée.
       2. Saisissez une clé publique de remplacement dans le champ Ajouter une clé publique. Vous devrez remplacer l’espace réservé par la clé fournie par CXone lorsque vous configurerez votre authentificateur de connexion.
12. Dans l’onglet Assignations, cliquez sur Assigner, puis sur Assigner à des personnes.
13. Assignez des utilisateurs à cette application.

Configurer un authentificateur de connexion avec OpenID Connect dans CXone

1. Cliquez sur le sélecteur d’applications et sélectionnezAdmin

2. Cliquez sur Authentificateur de connexion.

3. Cliquez sur Créer nouveau ou sélectionnez l’authentificateur de connexion que vous souhaitez modifier.
4. Saisissez un nom et une description pour l’authentificateur de connexion.
5. Sélectionnez OIDC comme type d’authentification.
6. Si vous disposez d’un terminal de découverte de Okta, cliquez sur Paramètres de découverte. Entrez votre terminal de découverte et cliquez sur Découvrir. Les champs restants sont remplis pour vous. L’option Paramètres de découverte ne fonctionne pas avec les terminaux de découverte Salesforce.
7. Entrez votre Identifiant client et Mot de passe client. Saisissez à nouveau le mot de passe dans Confirmer le mot de passe du client. L’identifiant du client est l’ID de connexion attribué à votre compte par Okta.

8. Si vous n’avez pas de terminal de découverte de Okta, saisissez l’émetteur, le terminal JsonWebKeySet, le terminal d’autorisation, le terminal du jeton, le terminal UserInfo et le terminal de révocation fournis par Okta.

   En savoir plus sur les champs dans cette étape

   Champ	Détails
   Émetteur	URL de Okta sans aucun paramètre.
   Terminal JsonWebKeySet	L’URL de l’ensemble JWK de Okta.
   Terminal d’autorisation	L’URL du terminal d’autorisation OAuth 2.0 de Okta.
   Terminal du jeton	L’URL du terminal du jeton OAuth 2.0 de Okta.
   Terminal UserInfo	L’URL du terminal UserInfo de Okta.
   Terminal de révocation	L’URL du terminal de révocation de Okta.

9. Sélectionnez une méthode d’authentification client. La méthode que vous sélectionnez doit correspondre à celle que vous avez définie dans la tâche précédente. Il doit s’agir d’une méthode d’authentification prise en charge par Okta. Si vous sélectionnez private_key_jwt, vous devez sélectionner Activer le chiffrement et saisir votre Clé de vérification de l’assertion du client.
10. Vous pouvez sélectionner Activer le profil FICAM pour activer les paramètres spécifiques au gouvernement américain. Cette étape est réservée aux utilisateurs FedRAMP.
11. Cliquez sur Créer l’authentificateur de connexion pour valider les informations fournies et lier votre compte CXone à votre compte Okta.
12. Ouvrez l’authentificateur de connexion.

13. Notez l’URI de redirection de connexion et l’URI de redirection de de déconnexion. Vous en aurez besoin pour mettre à jour vos paramètres Okta.

14. Mettez à jour vos paramètres Okta en remplaçant les espaces réservés utilisés dans la tâche précédente par les valeurs que vous venez de noter.

15. Assurez-vous que l’identité externe CXone pour chaque utilisateur qui utilise l’authentificateur de connexion est définie par la valeur correcte.

    Okta détermine la valeur à utiliser. Il se trouve dans le profil de l’utilisateur dans Okta. La valeur doit correspondre exactement à ce que vous avez mis dans le champ Identité externe dans CXone. La valeur de ce champ doit avoir le format suivant : claim(email):{adresse courriel configurée par votre IdP}. Par exemple, si l’adresse courriel de l’utilisateur dans l’IdP est nick.carraway@classics.com, vous devez saisir claim(email):nickcarraway@classics.com.

16. Demandez à l’utilisateur de se connecter à CXone. Il doit utiliser l’URL de connexion la plus récente. Après avoir entré leur nom d’utilisateur, ils seront dirigés vers Okta si nécessaire.

17. Lorsque Okta vous demande d’authentifier votre propre compte, faites-le en tant qu’utilisateur que vous souhaitez associer à votre compte CXone actuellement connecté.
18. Si vos paramètres OpenID Connect dans CXone n’apparaissent pas comme validés, utilisez les journaux de Okta pour diagnostiquer le problème.

Affecter des utilisateurs à l’authentificateur de connexion

1. Cliquez sur le sélecteur d’applications et sélectionnezAdmin.

2. Cliquez sur Utilisateurs.

3. Sélectionnez l’utilisateur que vous souhaitez affecter à l’authentificateur de connexion ou cliquez sur Créer nouveau pour créer un nouvel utilisateur.

4. Sous l'onglet Général, cliquez sur Modifier.

5. Dans la section Sécurité, sélectionnez l’authentificateur de connexion que vous avez créé précédemment dans la liste déroulante Authentificateur de connexion.

6. Cliquer sur Terminé.

Ajoutez CXone Valeurs à Okta

1. Revenez à votre application Okta et allez à l’onglet Général.
2. Cliquez sur Modifier dans la fenêtre des paramètres SAML, puis cliquez sur Suivant.
3. Pour l’URL d’authentification unique, entrez la valeur de l’URL ACS depuis votre CXone authentificateur de connexion.
4. Pour l’URL d’audience (ID d’entité SP), entrez la valeur de l’ID d’entité depuis votre CXone authentificateur de connexion.
5. Cliquez sur Suivant, puis cliquez sur Terminer pour compléter la modification.

Vérifier l’accès des utilisateurs avec l’authentification unique Okta

1. Assurez-vous que l’Identité externe pour chaque employé qui utilise l’authentificateur de connexion est défini par la valeur appropriée. La valeur doit correspondre exactement à l’Identité fédérée dans CXone. Le champ Identité externe est sensible à la casse.

2. Demandez à un ou plusieurs utilisateurs test de se connecter en utilisant la dernière URL de connexion, https://cxone.niceincontact.com. Pour FedRAMP, utilisez https://cxone-gov.niceincontact.com. Après avoir entré leur nom d’utilisateur, ils seront dirigés vers Okta si nécessaire.

3. Lorsque vous êtes prêt, déployez l’authentification unique Okta pour tous les utilisateurs.