Gérer les authentificateurs de connexion

Les authentificateurs de connexion contrôlent la façon dont les utilisateurs se connectent à CXone. CXone prend en charge aussi bien les authentifications externes qu'internes, en fonction des authentificateurs de connexion affectés à l'utilisateur, ainsi que du type et de la configuration de cet authentificateur de connexion.

Pour plus d'informations sur l'authentification et l'autorisation dans CXone, cliquez sur ici.

Configuration d'un authentificateur de connexion système

Autorisations requises : Peut gérer les mots de passe, Activé.

CXone Inclut un authentificateur de connexion système par défaut, mais vous pouvez en créer un autre. Après avoir configuré un authentificateur de connexion pour un rôle particulier, le champ de mot de passe affiche les règles d'authentification de connexion configurées lorsqu'un utilisateur essaie de définir ou de modifier le mot de passe.

  1. Cliquez sur le sélecteur d'applications et sélectionnez Admin.
  2. Allez à Authentificateur de connexion.

  3. Cliquez sur Créer nouveau.

  4. Entrez un Nom unique pour l'authentificateur de connexion.

  5. Entrez une description si vous en voulez un.

  6. Sélectionnez Système comme le type d'identification.

    Champ

    Détails
    Système L'authentificateur de connexion utilise le processus de connexion intégré de CXone. Il ne s'authentifie pas via un fournisseur d'identité externe à authentification unique (SSO).
    SAML SAML 2.0 vous permet de configurer l'authentification unique via un fournisseur d'identité externe. CXone prend en charge plusieurs instances de SAML 2.0. Vous pouvez attribuer différentes instances à différents utilisateurs.
  7. Définissez le niveau de complexité du mot de passe.

    Chacun des mots de passe de l’utilisateur est comparé à un référentiel de mots de passe utilisés couramment. En cas de correspondance, il doit en créer un autre. Exemples de mots de passe refusés :

    • Tout mot de passe incluant le mot « password ». Par exemple, Password@1234.

    • Tout mot de passe incluant l’adresse e-mail de l’utilisateur, son nom d’utilisateur, son prénom, son nom ou son nom système.

    Le référentiel est sollicité dans les cas suivants :

    • Un nouvel utilisateur est activé.

    • Le mot de passe d’un utilisateur a expiré.

    • Un utilisateur réinitialise son mot de passe.

     :  :
    ChampDétails
    Exiger des minuscules (a-z)Demande aux utilisateurs d'utiliser au moins une lettre en minuscule dans leur mot de passe.
    Exiger des majuscules (A-Z)demande aux utilisateurs d'utiliser au moins une lettre en majuscule dans leur mot de passe.
    Exiger des nombres (0-9)demande aux utilisateurs d'utiliser au moins un nombre dans leur mot de passe.
    Requérir un caractère non-alphanumérique (!, @, #, etc.)Demande aux utilisateurs d'utiliser au moins un caractère non-alphanumérique dans leur mot de passe.

  8. Si vous souhaitez activer l'authentification multifacteur (MFA), sélectionnez Exiger une authentification multifacteur. Définissez votre Tyê MFA sur HOTP et TOTP.

    Champ Détails
    Exiger une authentification multifacteur

    Exige que les utilisateurs saisissent un jeton d'authentification multifacteur (MFA) en plus d'un mot de passe pour se connecter à CXone. Un jeton MFA est un mot de passe à usage unique (OTP) généré par un jeton matériel ou un périphérique MFA virtuel (par exemple, une application comme Google Authenticator) que vous fournissez. Lorsque vous activez l'authentification MFA, les utilisateurs dont le profil est affecté doivent configurer une clé secrète MFA lors de la connexion suivante.

    N'activez pas l'authentification MFA pour l'administrateur principal de votre organisation. Si l'appareil ou le secret est perdu, la seule façon de réinitialiser le secret MFA consiste à créer un ticket auprès de NICE CXone.
    Type MFA Spécifie si vous souhaitez activer l'authentification multifacteur (MFA) TOTP ou HOTP.

  9. Définissez votre politique de mot de passe.

    Champ Détails
    Longueur du mot de passe Saisissez le nombre minimal de caractères au total que les utilisateurs doivent inclure dans leurs mots de passe. Par exemple, si vous saisissez 12, les utilisateurs doivent inclure au moins 12 caractères au total dans chaque mot de passe. Les caractères requis dans les paramètres de complexité du mot de passe sont pris en compte dans le nombre total de caractères. Vous pouvez définir la valeur de longueur du mot de passe entre 12 et 24.
    Activer l’ancienneté du mot de passe Active une zone de texte où vous pouvez saisir le nombre maximum de jours de conservation d'un mot de passe. Ensuite, l'utilisateur doit changer son mot de passe. Vous pouvez définir la durée de conservation du mot de passe entre 14 et 365 jours.
    Activer l'historique des mots de passe Saisissez le nombre de mots de passe uniques qu'un utilisateur doit définir avant de réutiliser un ancien. Vous pouvez définir la valeur de l'historique entre 4 et 50. Par exemple, si vous entrez 10, les utilisateurs affectés à l'authentificateur de connexion ne peuvent utiliser aucun de leurs 10 derniers mots de passe comme nouveau mot de passe.

  10. Cliquez sur Créer un authentificateur de connexion.

Configuration d'un authentificateur de connexion externe

Vous pouvez utiliser l'authentification externe lorsque vous souhaitez que le mot de passe utilisateur soit géré par un autre système ou fournisseur d'identité. CXone prend actuellement en charge les protocoles de fédération SAML 2.0 et OpenID Connect.

Vous pouvez configurer l'authentification initiée par l'IdP ou l'authentification initiée par le SP en appliquant les étapes de cette section.

Authentification initiée par IdP : IdP signifie fournisseur d'identité. L'authentification initiée par IdP signifie que le fournisseur d'identité externe démarre le processus de connexion.

Authentification initiée par SP : SP signifie fournisseur de services. L'authentification initiée par le SP signifie que CXone démarre le processus de connexion.

Si vous utilisez Salesforce Agent, le fournisseur d'identité (IdP) externe doit être configuré pour l'authentification demandée par SP. Le certificat de fournisseur d'identité doit avoir été créé par SP avec un URL de point de terminaison spécifique. Tout certificat comportant URL du point de terminaison - Uniquement si provient du fournisseur d'identité ne fonctionnera pas.

Configuration d’un authentificateur de connexion avec SAML 2.0

  1. Assurez-vous que vous avez accès au fournisseur d'identité externe. Vous devrez créer une intégration propre à CXone.
  2. Créez l'intégration depuis le fournisseur d'identité externe. Différents systèmes utilisent différents noms pour ces intégrations, voir les instructions spécifiques pour Okta ou Azure.
    1. Vous devrez fournir un ID d'entité que vous ne connaissez pas à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme emplacement réservé.
    2. Vous devrez fournir une URL ACS que vous ne connaissez pas à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme emplacement réservé.
    3. Le fournisseur d'identité va générer une URL spécifique à laquelle les demandes SAML doivent être envoyées. Copiez et enregistrez cette URL à un endroit où vous pourrez la trouver. Vous devrez entrer cette valeur au cours des étapes suivantes.
    4. Le fournisseur d'identité générera un certificat de signature public pour l'intégration. Téléchargez ce certificat. Ce certificat vous sera demandé au cours d'étapes ultérieures.
  3. Créez un authentificateur de connexion externe dans CXone
    1. Cliquez sur le sélecteur d'applications et sélectionnezAdministrateur.
    2. Cliquez sur Sécurité > Authentificateur de connexion.
    3. Entrez le Nom et la description de l'authentificateur de connexion.
    4. Sélectionnez SAML comme le type d'identification.
    5. Si vous sélectionnez FICAM, la réponse SAML doit comporter une entrée AuthnContextClassRef unique. D'autre part, le paramètre NamespaceURI du sujet de l'assertion doit prendre la forme : urn:oasis:names:tc:SAML:2.0:assertion. Les champs AuthnContextClassRef et NamespaceURI sont contrôlés par le fournisseur d'identité.
    6. Entrez le point de terminaison de la requête SAML que votre fournisseur ci-dessus vous a transmis comme URL du point de terminaison.
    7. Cliquez sur Choisir fichier et sélectionnez le certificat de signature publique que votre fournisseur vous a envoyé. Ce fichier doit être de type PEM. Il s'agit d'un fichier texte et la première ligne doit contenir BEGIN CERTIFICATE suivi d'un texte.
    8. Cliquez sur Enregistrer et activer.
    9. Ouvrez l'authentificateur de connexion.

    10. Notez l’ID d’entité et l’URL ACS. Vous en aurez besoin lors de la mise à jour de vos paramètres IdP.

  4. Mettez à jour les paramètres de votre fournisseur d'identité, et entrez les valeurs que vous avez notées dans les emplacements réservés ci-dessus.

  5. Associez l'identificateur de connexion à un utilisateur au moyen du rôle de cet utilisateur.

  6. Assurez-vous que l'Identité externe de tout utilisateur exécutant l'authentificateur de connexion est définie sur la valeur correcte.

    La valeur exacte à utiliser dépend de votre fournisseur d'identité. Cette valeur doit correspondre exactement à ce que vous avez entré dans le champ Identité externe dans CXone.

  7. Demandez à l'utilisateur de se connecter. Il doit pour cela disposer de l'URL de connexion la plus récente. Une fois son nom d'utilisateur entré, il est dirigé vers le fournisseur d'identité externe si nécessaire.

Configuration d’un authentificateur de connexion avec OpenID Connect

Si OpenID Connect n’est pas activé sur votre système, contactez votre Représentant de compte CXone. Il vous aidera à l’activer et configurer un nom d'hôte personnalisé pour votre connexion.

Capture d'écran de l'onglet OpenID Connect d'une business unit en mode édition

  1. Si vous ne l'avez pas déjà fait, configurez votre IdP. Notez votre identifiant client et votre secret client. Configurez un URI de redirection propre à votre système. Cet URI est basé sur le nom d'hôte personnalisé que vous avez configuré avec votre NICE CXone représentant de compte.

  2. Cliquez sur le sélecteur d'applications et sélectionnezAdmin

  3. Cliquez sur Authentificateur de connexion.

  4. Cliquez sur Créer ou sélectionnez l’authentificateur de connexion à modifier.
  5. Entrez le Nom et la description de l'authentificateur de connexion.
  6. Sélectionnez OIDC en tant que Type d'authentification.
  7. Si vous disposez d'un point de terminaison de découverte pour votre IdP, cliquez surDécouvrir les paramètres. Entrez votre point de terminaison de découverte et cliquez sur Découvrir. Les champs restants sont renseignés pour vous.
  8. Entrez votre Identifiant du client et Mot de passe du client. Retapez le mot de passe dans Client Confirmer le mot de passe. L’identifiant client est l’ID de connexion affecté à votre compte par votre fournisseur d’identité.

  9. Si vous ne disposez pas d'un point de terminaison de découverte pour votre fournisseur d’identité, entrez l’émetteur, le Point de terminaison JsonWebKeySet, le Point de terminaison d'autorisation, Point de terminaison de jeton, le Point de terminaison UserInfo et le Point de terminaison de révocation. Toutes ces informations sont fournies par le fournisseur d’identité.

    Champ

    Détails
    Émetteur

    L’URL de votre fournisseur d’identité sans aucun paramètre.
    JSONWebKeySet Endpoint L’URL de l’ensemble JWK de votre fournisseur d’identité.
    Point de terminaison de l'autorisation L’URL du terminal d'autorisation OAuth 2.0 de votre fournisseur d’identité.
    Point de terminaison du jeton L’URL du terminal de jeton OAuth 2.0 de votre fournisseur d’identité.
    Point de terminaison UserInfo L’URL du terminal UserInfo de votre fournisseur d’identité.
    Terminal de révocation L’URL du terminal de révocation de votre fournisseur d’identité.
  10. Sélectionnez une méthode d'authentification du client. La méthode que vous sélectionnez doit être prise en charge par votre fournisseur d’identité. Si vous sélectionnez private_key_jwt, vous devez sélectionnzer Activer le chiffrement et entrer la Clé de vérification de l’assertion du client.
  11. Vous pouvez sélectionner Activer le profil FICAM pour activer les paramètres propres à la législation américaine.
  12. Cliquez sur Créer un authentificateur de connexion pour valider les informations fournies et pour lier votre compte CXone à votre compte fourni par le fournisseur d’identité.
  13. Lorsque votre fournisseur d'identité vous demande de vous authentifier, faites-le en tant qu'utilisateur du fournisseur d'identité que vous souhaitez associer au compte CXone actuellement connecté.
  14. Si vos paramètres OpenID Connect, dans CXone, ne sont pas validés, utilisez les fichiers journaux créés par le fournisseur d’identité pour diagnostiquer le problème.

Liaison de nouveaux utilisateurs avec des réclamationsOpenID Connect

CXonepeut utiliser une valeur de revendication différente, comme une adresse e-mail, pour établir l'identité de l'utilisateur lors de sa première connexion. CXonepasse alors automatiquement à l'uniqueOpenID Connect identifiant du sujet. Cela vous permet de préconfigurer leidentité fédérée.

PKCE pour l’authentification front-end

Il est possible que vous rencontriez des difficultés dans l’utilisation du flux de code d’autorisation OpenID Connect. Ce flux exige un client_secret dans le cadre de l’échange de jetons. Le codage du client_secret dans une application web présente un risque de sécurité. OpenID Connect permet d’utiliser un autre flux appelé PKCE, de l’anglais Proof Key for Code Exchange (clé de vérification pour l’échange de code). PKCE utilise une méthode d’authentification différente. NICE CXone prenden charge les flux PKCE pour les intégrations front-end.

Assigner des utilisateurs à l'authentificateur de connexion

  1. Cliquez sur le sélecteur d'applications et sélectionnezAdmin.

  2. Cliquez sur Utilisateurs.

  3. Sélectionnez l'utilisateur auquel vous souhaitez assigner l'authentificateur de connexion, ou cliquez sur Créer pour créer un utilisateur.

  4. Dans l'onglet Général, cliquez sur Éditer.

  5. Dans la section Sécurité, sélectionnez l'authentificateur de connexion que vous avez créé récemment dans la liste déroulante Authentificateur de connexion.

  6. Cliquez sur Terminé.