Gestion de la fédération avec Okta

Okta est juste l'un des fournisseurs d'identité externe (IdP) que vous pouvez utiliser avec CXone. Cette page vous guide, étape par étape, dans la configuration de l'authentification pour votre système CXone à l'aide d'Okta.

Si vous procédez à l'implémentation initiale de votre système CXone, des étapes supplémentaires sont à prendre en compte. Nous recommandons de lire les pages d'aide en ligne suivantes qui portent également sur ces considérations :

Effectuez chacune de ces tâches dans l'ordre indiqué.

Avant de commencer, assurez-vous que vous avez accès à Okta. Vous allez devoir créer une application.

Création et configuration d'une application Okta avec SAML 2.0

  1. Connectez-vous à votre compte de gestion Okta.
  2. Cliquez sur le menu Applications > Créer une intégration d'application.
  3. Sélectionnez SAML 2.0 comme méthode et cliquez sur Suivant.
  4. Saisissez le nom servant à identifier cette intégration, puis cliquez sur Suivant.
  5. Configurez SAML :
    1. Entrez une URL temporaire telle que https://cxone.niceincontact.com/need_to_change dans le champ URL de connexion unique. Vous allez remplacer cette valeur par l'URL que vous recevrez par la suite.
    2. Entrez une URL temporaire telle que https://cxone.niceincontact.com/need_to_change dans le champ URI du public. Vous allez remplacer cette valeur par l'URI que vous recevrez par la suite.
    3. Spécifiez le format d'ID de nom et le nom d'utilisateur de l'application correspondant à vos critères d'identification des utilisateurs sur CXone.
    4. Cliquez sur Afficher les paramètres avancés.
    5. Remplacez Signature d'assertion par Non signé. Laissez Réponse avec la valeur Signé.
    6. Assurez-vous que Chiffrement d'assertion a la valeur Non chiffré.
  6. Cliquez sur Suivant, ajoutez vos commentaires, puis cliquez sur Terminer dans l'onglet Commentaires.
  7. Cliquez sur Voir les instructions de configuration de SAML pour ouvrir un nouvel onglet, puis :
    1. Cliquez sur Certificat téléchargé pour télécharger le certificat de signature. Conservez ce fichier pour la configuration de CXone.
    2. Copiez l'URL SSO du fournisseur d'identité. Conservez cette URL pour la configuration de CXone.
    3. Fermez l'onglet Instructions pour la configuration de SAML. Laissez l'onglet Configurer SAML ouvert. Vous allez modifier votre configuration en fonction des paramètres CXone que vous allez obtenir.

Configuration d’un authentificateur de connexion CXone avec SAML 2.0

Autorisations requises:Authentificateur de connexion - Créer

  1. Cliquez sur le sélecteur d'applications et sélectionnezAdministrateur.
  2. Cliquez sur Authentificateur de connexion.
  3. Cliquez sur Créer nouveau.
  4. Entrez le Nom et la description de l'authentificateur de connexion.
  5. Sélectionnez SAML2 en tant que Type d'authentification .
  6. Entrez l'URL d’identification unique du fournisseur d'identité que vous avez reçue d'Okta en tant qu'URL du terminal. Consultez la dernière étape de la tâche précédente pour plus de détails.
  7. Cliquez sur Choisir fichier et sélectionnez le certificat de signature publique que vous avez téléchargé depuis Okta lors de la tâche précédente. Ce certificat doit être un fichier PEM. Il s'agit d'un fichier texte et la première ligne doit contenir BEGIN CERTIFICATE suivi d'un texte.
  8. Cliquez sur Enregistrer et activer.
  9. Ouvrez l'authentificateur de connexion.
  10. Vous pouvez constater que deux champs en lecture seule supplémentaires s'affichent : ID de l'entité et URL ACS. Notez ces valeurs. Vous en aurez besoin pour la tâche Ajouter des valeurs CXone à Okta.

Configuration d’une application Okta avec OpenID Connect

  1. Connectez-vous à votre compte de gestion Okta.
  2. Cliquez sur le menu Applications > Créer une intégration d'application.
  3. Sélectionnez OIDC - OpenID Connect comme méthode de connexion.
  4. Sélectionnez Application Web comme type d’application et cliquez sur Suivant.
  5. Dans le champ Nom d’intégration d’application, entrez le nom que vous voulez utiliser pour identifier cette intégration.
  6. Vous devrez fournir un URI de redirection de connexion, que vous ne connaissez pas à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme emplacement réservé. Vous allez remplacer cette valeur par l'URI que vous recevrez par la suite.
  7. Vous pouvez être invité à fournir un URI de redirection de déconnexion, que vous ne connaissez pas à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme emplacement réservé. Vous allez remplacer cette valeur par l'URI que vous recevrez par la suite.
  8. Dans la liste déroulante Accès contrôlé, sélectionnez Sauter l'affectation de groupe pour l'instant.
  9. Cliquez sur Enregistrer.
  10. Dans l'onglet Général sous Informations d’identification du client, sélectionnez Authentification du client.
  11. Sélectionnez l'une des méthodes d’authentification suivantes :
    1. client_secret_basic : les informations d'identification du client sont transmises dans un en-tête de base lors de l'authentification. Après avoir sélectionné cette méthode, configurez les éléments suivants :
      1. Sélectionnez Authentification du client comme Secret du client.
      2. Copiez l'identifiant du client et le secret du client et collez-les dans un emplacement sûr de votre appareil. Vous devrez les utiliser lorsque vous configurerez un authentificateur de connexion dans CXone.
    2. client_secret_post : les informations d'identification du client sont transmises dans un corps lors de l'authentification. Après avoir sélectionné cette méthode, configurez les éléments suivants :
      1. Sélectionnez Authentification du client comme Secret du client.
      2. Copiez l'identifiant du client et le secret du client et collez-les dans un emplacement sûr de votre appareil. Vous devrez les utiliser lorsque vous configurerez un authentificateur de connexion dans CXone.
    3. client_secret_jwt : les jetons bearer JWT sont utilisés pour l'authentification du client. Après avoir sélectionné cette méthode, configurez les éléments suivants :
      1. Sélectionnez Authentification du client comme Secret du client.
      2. Copiez l'identifiant du client et le secret du client et collez-les dans un emplacement sûr de votre appareil. Vous devrez les utiliser lorsque vous configurerez un authentificateur de connexion dans CXone.
    4. private_key_jwt : les jetons bearer JWT sont utilisés pour l'authentification du client. Le JWT est signé par la clé privée du client que vous fournirez dans les étapes suivantes. Après avoir sélectionné cette méthode, configurez les éléments suivants :
      1. Sélectionnez Authentification du client comme Clé publique / clé privée.
      2. Entrez une clé publique fictive dans le champ Ajouter la clé publique . Vous devrez remplacer l'espace réservé par la clé fournie par CXone lorsque vous configurerez votre authentificateur de connexion.
  12. Cliquez sur Attribuer, puis sur Attribuer à des personnes.
  13. Attribuez des utilisateurs à cette application.

Configuration d’un authentificateur de connexion avec OpenID Connect dans CXone

  1. Cliquez sur le sélecteur d'applications et sélectionnezAdmin

  2. Cliquez sur Authentificateur de connexion.

  3. Cliquez sur Créer ou sélectionnez l’authentificateur de connexion à modifier.
  4. Entrez le Nom et la description de l'authentificateur de connexion.
  5. Sélectionnez OIDC en tant que Type d'authentification.
  6. Si vous souhaitez exiger que les utilisateurs se connectent à partir d'une certaine adresse IP, sélectionnez l'option Emplacement que vous avez définie dans la section précédente.

  7. Si vous disposez d'un point de sortie de découverte de Okta, cliquez surParamètres de découverte. Entrez votre point de terminaison de découverte et cliquez sur Découvrir. Les champs restants sont renseignés pour vous. Paramètres de découverte ne fonctionne pas avec les points de sortie de découverte Salesforce .
  8. Entrez votre Identifiant du client et Mot de passe du client. Retapez le mot de passe dans Client Confirmer le mot de passe. L’identifiant client est l’ID de connexion affecté à votre compte par Okta.
  9. Si vous ne disposez pas d'un point de terminaison de découverte de Okta, entrez l’émetteur, l’extrémité JsonWebKeySet, l’extrémité d'autorisation, l’extrémité de jeton, l’extrémité d’informations utilisateur et l’extrémité de révocation. Toutes ces informations sont fournies par Okta.

  10. Sélectionnez une méthode d'authentification du client. La méthode sélectionnée doit correspondre à celle que vous avez définie dans la tâche précédente. Il doit s'agir d'une méthode d'authentification prise en charge par Okta . Si vous sélectionnez private_key_jwt, vous devez sélectionnzer Activer le chiffrement et entrer la Clé de vérification de l’assertion du client.
  11. Vous pouvez sélectionner Activer le profil FICAM pour activer les paramètres propres à la législation américaine. Cette étape n’est destinée qu’aux utilisateurs de FedRAMP.
  12. Cliquez sur Créer un authentificateur de connexion pour valider les informations fournies et pour lier votre compte CXone à votre compte Okta.
  13. Ouvrez l'authentificateur de connexion.
  14. Notez l'URI de redirection de connexion et l'URI de redirection de déconnexion. Vous en aurez besoin pour mettre à jour vos paramètres Okta.

  15. Mettez à jour vos paramètres Okta et entrez les valeurs que vous avez notées dans les emplacements réservés ci-dessus.

  16. Assurez-vous que l'identité externe CXone de tout utilisateur exécutant l'authentificateur de connexion est définie sur la valeur correcte.

    Okta détermine la valeur à utiliser. Elle se trouve dans le profil de l'utilisateur dans Okta. Cette valeur doit correspondre exactement à ce que vous avez entré dans le champ Identité externe dans CXone. La valeur de ce champ doit être au format claim(email):{e-mail configuré par votre fournisseur d’identité}. Par exemple, si l’e-mail de l’utilisateur est nick.carraway@classics.com pour le fournisseur d’identité, vous devez entrer claim(email):nickcarraway@classics.com.

  17. Demandez à l'utilisateur de se connecter à CXone. Il doit pour cela disposer de l'URL de connexion la plus récente. Ils doivent saisir leur nom d'utilisateur, puis sont dirigés vers Okta si nécessaire.

  18. Lorsque Okta vous demande d’authentifier votre compte, faites-le en tant que l’utilisateur que vous voulez associer au compte CXone actuellement connecté.
  19. Si vos paramètres OpenID Connect dans CXone, ne sont pas validés, utilisez les fichiers journaux créés par Okta pour diagnostiquer le problème.

Assigner des utilisateurs à l'authentificateur de connexion

  1. Cliquez sur le sélecteur d'applications et sélectionnezAdmin.
  2. Cliquez sur Utilisateurs.

  3. Sélectionnez l'utilisateur auquel vous souhaitez assigner l'authentificateur de connexion, ou cliquez sur Créer pour créer un utilisateur.

  4. Dans l'onglet Général, cliquez sur Éditer.

  5. Dans la section Sécurité, sélectionnez l'authentificateur de connexion que vous avez créé récemment dans la liste déroulante Authentificateur de connexion.

  6. Cliquez sur Terminé.

Ajout de valeurs CXone dans Okta

  1. Revenez dans votre application Okta, puis allez dans l'onglet Général.
  2. Cliquez sur Modifier dans la fenêtre Paramètres SAML, puis cliquez sur Suivant.
  3. Pour l'URL SSO, saisissez la valeur de l'URL ACS provenant de votre authentificateur de connexion CXone.
  4. Pour l'URI d'audience (ID de l'entité SP), saisissez la valeur ID de l'entité provenant de votre identificateur de connexion CXone.
  5. Cliquez sur Suivant, puis sur Terminer pour compléter la modification.

Vérifiez l'accès utilisateur avec l'authentification unique d'Okta

  1. Assurez-vous que l'Identité externe de chaque utilisateur utilisant l'authentificateur de connexion est définie sur la bonne valeur. Cette valeur doit correspondre exactement à Identité fédérée dans CXone. Le champ Identité externe tient compte des majuscules et minuscules.

  2. Demandez à au moins un utilisateur de test de se connecter avec l'URL de connexion la plus récente, https://cxone.niceincontact.com. Pour FedRAMP, utilisez https://cxone-gov.niceincontact.com Ils doivent saisir leur nom d'utilisateur, puis sont dirigés vers Okta si nécessaire.

  3. Lorsque vous êtes prêt, déployez l'authentification unique d'Okta pour tous les utilisateurs.