Authentification et autorisation dans CXone

Cette page fournit des informations spécifiques sur le fonctionnement de l’authentification et de l’autorisation dans CXone. Si c'est la première fois que vous travaillez avec ces concepts, vous devriez acquérir une compréhension de base des idées d'authentification et d'autorisation et de la terminologie d'abord.

Une fois que vous avez examiné ce matériel, vous êtes prêt à :

Lorsque les utilisateurs se connectent à n'importe quelle suite d'applications, y compris CXone, ces deux étapes se produisent généralement dans l'ordre indiqué :

  • Authentification—L'utilisateur est-il celui qu'il prétend être ?
  • Autorisation—L'utilisateur authentifié doit-il avoir l'accès qu'il a demandé ?

Tous les utilisateurs doivent être authentifiés et autorisés avant de pouvoir accéder à CXone.

Les utilisateurs peuvent être des personnes ou des applications. Par exemple, les chatbots et les assistants virtuels fonctionnent souvent au moyen d'un compte d'utilisateur. La plupart des suites d'applications utilisent les mêmes processus pour les utilisateurs humains et virtuels. Dans ces pages d'aide en ligne sur l'authentification et l'autorisation, nous avons utilisé le termeutilisateur à appliquer à la fois aux personnes et aux applications. S'il y a des différences, elles sont clairement expliquées.

L'authentification peut être compliquée à configurer et difficile à tester et à valider. Pour configurer l'authentification dans CXone, vous devez comprendre :

  • Fonctionnement de l'authentification dans CXone

  • Le fournisseur d'identité intégré CXone

  • Fournisseurs d'identité externes

  • Différences entre l'authentification des utilisateurs humains et des utilisateurs d'application

Vous devez également savoir comment fonctionne l'autorisation dans la CXone Plate-forme.

Cette illustration montre comment CXone authentifie et autorise les utilisateurs :

  1. Un utilisateur accède CXone via un navigateur Web pris en charge.

  2. CXone demande les identifiants de connexion de l'utilisateur.

  3. L'utilisateur fournit des informations d'identification.

  4. CXone les vérifie auprès d'un fournisseur d'identité (IdP). CXone a son propre fournisseur d'identité intégré, mais il peut également fonctionner avec un fournisseur d'identité externe.

  5. Une fois l'utilisateur authentifié, le CXone serveur d'autorisation permet d'accéder à la CXone Plate-forme. CXone ne prend pas en charge les systèmes d'autorisation externes.

Authentification à l'aide du fournisseur d'identité intégré

Le CXone IdP authentifie intégré les utilisateurs avec un nom d'utilisateur et un mot de passe. Chaque nom d'utilisateur doit être unique pour votre organisation. Vous pouvez éventuellement ajouter une authentification multifacteur (MFA) pour une couche de sécurité supplémentaire.

Utilisateurs d'applications

Parfois, les applications ont besoin d'accéder à CXone caractéristiques et fonctionnalités. CXone traite ces applications, comme les bots et les assistants virtuels interactifs (IVA), comme des utilisateurs. Les utilisateurs d'application ne sont pris en charge qu'avec l'authentification intégrée. De plus, les utilisateurs de l'application n'utilisent pas d'authentificateurs de connexion. Au lieu de cela, ils utilisent des clés d'accès.

Connexion utilisateur avec authentification intégrée

Les utilisateurs voient d'abord un écran qui leur demande leur nom d'utilisateur. Jusqu'à CXone connaît le nom d'utilisateur, il ne peut pas demander d'informations d'identification supplémentaires. CXone ne peut demander des mots de passe ou des jetons MFA qu'une fois qu'il sait quel utilisateur se connecte.

CXone écran de connexion initial, où les utilisateurs entrent leur nom d'utilisateur

Une fois que l'utilisateur a saisi son nom d'utilisateur et cliqué sur SUIVANT, une nouvelle fenêtre demande le mot de passe de l'utilisateur. Une fois que l'utilisateur a entré son mot de passe correct et cliqué sur S'identifier, CXone authentifie l'utilisateur et lui accorde l'accès au système.

CXone deuxième écran de connexion, où les utilisateurs entrent leur mot de passe

Cette fenêtre est légèrement différente pour utilisateurs qui sont configurés pour utiliser MFA. Une fois que l'utilisateur a saisi son nom d'utilisateur et cliqué sur SUIVANT, une nouvelle fenêtre demande le mot de passe de l'utilisateur et le jeton MFA. Une fois que l'utilisateur a entré son mot de passe correct et un jeton valide, il clique sur S'identifier. CXone authentifie l'utilisateur et lui accorde l'accès au système.

Écran de saisie du mot de passe de l'employé dans CXone lorsque des champs spécifiques à MFA

Gestion des mots de passe avec authentification intégrée

Les critères de mot de passe peuvent être personnalisés avec les authentificateurs de connexion. Avec un authentificateur de connexion, vous pouvez contrôler :

  • Nombre de caractères requis dans un mot de passe

  • Types de caractères requis dans un mot de passe

  • Nombre de jours avant que l'utilisateur doive réinitialiser son mot de passe

  • Nombre de tentatives de mot de passe erronées autorisées avant que le compte ne soit verrouillé

  • Nombre de mots de passe qui CXone se souvient, ce qui empêche les utilisateurs de réutiliser ces mots de passe

Les mots de passe ne sont pas visibles dans CXone. Pour des raisons de confidentialité et de sécurité, les mots de passe sont conservés en interne et ne peuvent être modifiés qu'à l'aide d'un mot de passe oublié ou d'un flux de mot de passe renvoyé. Les utilisateurs peuvent utiliser le lien sur l'écran de connexion par mot de passe et suivez les instructions à l'écran. Les utilisateurs reçoivent un e-mail qui leur signale la modification de leur mot de passe.

CXone est livré avec un authentificateur de connexion par défaut que vous pouvez utiliser si vous n'avez pas besoin d'authentificateurs de connexion personnalisés. Vous devez toujours attribuer cet authentificateur par défaut aux utilisateurs que vous voulez utiliser.

Vous pouvez configurer autant d'authentificateurs de connexion personnalisés que vous le souhaitez. Par exemple, vous pouvez exiger des mots de passe plus complexes pour les utilisateurs qui ont accès à des informations précieuses. Chaque fois que vous souhaitez modifier une exigence d'authentification pour un compte d'utilisateur, vous devez créer un nouvel authentificateur de connexion. Les modifications apportées aux authentificateurs s'appliquent aux utilisateurs affectés lors de leur prochaine connexion.

Vous pouvez également configurer l'authentification multifacteur (MFA) avec des authentificateurs de connexion personnalisés. MFA augmente votre sécurité en ajoutant une autre couche d'authentification. Par exemple, vous pouvez demander à vos utilisateurs de s'authentifier avec un nom d'utilisateur et un mot de passe. Ensuite, vous pouvez les faire s'authentifier à nouveau avec un code envoyé à leurs appareils mobiles. Ces codes sont généralement connus sous le nom de jetons MFA, même lorsqu'un jeton physique n'est pas impliqué.

CXone prend en charge les deux principaux types de MFA :

  • Basé sur le temps- généralement utilisé par les authentificateurs logiciels comme Google
  • Basé sur le compteur- généralement utilisé par les jetons matériels

Vous pouvez activer MFA pour les authentificateurs de connexion avec une seule case à cocher. Cependant, les informations spécifiques sur les utilisateurs, leurs paramètres MFA et leurs identités sont conservées dans le compte individuel de l'employé.

Les authentificateurs de connexion et les profils de sécurité sont complètement séparés. Cela signifie que la méthode d'authentification d'un employé n'a aucun rapport avec ce à quoi il peut accéder dans CXone.

Enregistrement de l'employé dans CXone montrant le bouton Effacer le secret MFA

Authentification à l'aide d'un fournisseur d'identité externe

Lorsque vous vous connectez à un système avec un compte d'un autre site, vous utilisez une authentification externe. Par exemple, vous pouvez vous connecter à une application sur votre téléphone avec votre compte Google.

L'authentification externe, parfois appelée fédération, utilise un fournisseur d'identité externe (IdP) pour aider à authentifier les utilisateurs. Le IdP externe fonctionne avec le fournisseur d'identité CXone pour authentifier l'utilisateur. Pour travailler ensemble, les deux IdP s'appuient surprotocoles d'authentification.

Fournisseurs d'identité externes

CXone prend en charge les fournisseurs d'identité de services hébergés et cloud.

Vous devez connaître votre fournisseur d'identité. Si ce n'est pas le cas, travaillez avec l'équipe de votre entreprise qui gère l'authentification. La création d'une fédération peut être difficile si les bonnes personnes ne sont pas impliquées. Votre organisation peut avoir établi des processus pour intégrer des systèmes tels que CXone avec votre fournisseur d'identité. Il est de votre responsabilité de suivre ces processus et de répondre à vos besoins spécifiques en matière de sécurité. L'équipe NICE CXone est là pour vous accompagner tout au long du chemin.

Protocoles d'authentification

Les protocoles d'authentification établissent la communication et la confiance entre les différents IdP. CXone prend en charge ces protocoles d'authentification :

  • OpenID Connect
  • SAML 2.0

OpenID Connect a plus de fonctionnalités et est plus facile à prendre en charge. Les avantages incluent :

  • Technologie standard de l'industrie

  • Permet une intégration IdP transparente et transparente pour les utilisateurs

  • Active une gamme d'options d'authentification multifacteur (MFA)

  • Base évolutive pour un modèle de service de plate-forme

OpenID Connect valide les authentifications avec la signature de certificat public/privé à l'aide d'une norme industrielle appelée JWKS. Par conséquent, la configuration OpenID Connect détermine comment les certificats publics sont obtenus. La confiance avec l'émetteur du certificat est établie à l'aide d'un identifiant client et d'un secret.

SAML 2.0 est une technologie plus ancienne qui peut causer des problèmes d'intégration. Cependant, il est actuellement plus largement utilisé que OpenID Connect. Votre organisation peut avoir des directives sur le protocole à utiliser. En général, ils offrent tous deux une expérience utilisateur et un niveau de sécurité sous-jacent similaires.

Tous les deux OpenID Connect et SAML 2.0 prendre en charge le flux d'authentification initié par le fournisseur de services (SP). Il s'agit d'un flux familier et du modèle utilisé par de nombreuses applications et sites Web. L'expérience utilisateur est :

  • Les utilisateurs entrent leurs informations d'identification dans CXone (c'est-à-dire qu'ils se connectent).
  • CXone utilise son IdP intégré pour communiquer avec votre IdP externe afin de vérifier l'identité de l'utilisateur.
  • CXone utilise son autorisation intégrée pour vérifier les niveaux d'accès de l'utilisateur authentifié.
  • CXone fournit un accès correct à l'utilisateur authentifié et autorisé.

SAML 2.0 prend également en charge le flux initié par le fournisseur d'identité (IdP) moins courant. Dans ce flux, votre utilisateur entre ses informations d'identification auprès de votre fournisseur d'identité. Ensuite, le fournisseur d'identité lance CXone.

Pour SAML 2.0, CXone prend uniquement en charge la signature du message ou de la réponse, pas de l’assertion.

Les flux initiés par l’IdP concernent les applications individuelles, pas la totalité de la suite CXone. Par exemple, vous pouvez utiliser ce flux pour lancer les applications de l’interface utilisateur principale, mais vous ne pouvez pas l’utiliser pour lancer d’autres applications comme Studio. Pour que la suite intégrale fonctionne sans accroc, le flux initié par le SP est requis.

Vos utilisateurs connaissent peut-être l'un ou l'autre de ces flux d'authentification ou les deux. Si vous utilisez SAML 2.0, alors soyez conscient des limitations présentées par chaque flux. Ceux-ci sont discutés plus en détail dans la section suivante. OpenID Connect utilise toujours le flux initié par le SP.

CXone ne prend pas en charge le cryptage supplémentaire offert par certains protocoles d'authentification.

Les détails de configuration diffèrent en fonction de l'IdP et du protocole d'authentification que vous choisissez. Il n'est pas possible de couvrir toutes les combinaisons possibles d'IdP et de protocoles d'authentification, mais quelques scénarios courants sont abordés dans les informations qui suivent.

Évaluer la combinaison

La suite CXone ne prend pas en charge toutes les combinaisons d'application, d'IdP externe et de protocole d'authentification. Dans certains cas, le support n'existe pas. Dans d'autres cas, il existe des limitations avec des solutions de contournement. Il est difficile de montrer les problèmes potentiels pour chaque combinaison et scénario, vous devez donc effectuer une configuration de test avec votre fournisseur d'identité. Votre test doit tenir compte de vos différents cas d'utilisation et flux d'utilisateurs. Le tableau suivant peut vous guider dans votre évaluation.

CXone Application IDP externe Protocole d'authentification Limitations et solutions de contournement
CXone Plate-forme et toutes les applications Tout Tout Ne prend pas en charge le chiffrement des revendications.
CXone Plate-forme et toutes les applications Tout SAML 2.0 Seule la signature de message est prise en charge. Le certificat public doit être inclus dans la réponse.
CXone Plateforme AD Azure SAML 2.0 Seul le flux initié par IdP est pris en charge.

Seules les principales applications Web prennent en charge le flux SAML 2.0 initié par l’IdP. Les utilisateurs qui doivent accéder à Studio ou aux diverses applications d’agent doivent utiliser l’authentification intégrée ou un flux initié par le SP.

Établir la confiance

Les fournisseurs d'identité doivent se faire confiance avant de pouvoir communiquer. Chaque fournisseur doit avoir des informations sur l'autre. Les informations requises dépendent du protocole d'authentification. La façon dont les informations sont obtenues dépend de l'IdP.

Croire en OpenID Connect

Votre Représentant de compte CXone travaillera avec vous pour configurer une relation de confiance entre votre unité d’exploitationFermé Regroupement organisationnel de haut niveau utilisé pour gérer le support technique, la facturation et les paramètres globaux de votre CXone environnement CXone et votre fournisseur d’identité externe à l’aide de OpenID Connect.

Croire en OpenID Connect implique ces valeurs, dont vous aurez besoin pour configurer la relation :

  • Émetteur—Cette valeur ressemble toujours à une URL. Les valeurs de l'émetteur varient en fonction de votre fournisseur d'identité externe, mais elles ressemblent toujours à une URL. Par exemple, Google peut fonctionner en tant qu'IdP externe et il prend en charge OpenID Connect. L'émetteur Google est https://accounts.google.com. De nombreux fournisseurs d'IdP externes rendent leurs URL d'émetteur détectables en ajoutant ".well-known/openid-configuration" à la fin de l'URL principale de l'IdP. Cela vous fournit souvent des informations précieuses supplémentaires de la part de l'IdP. L'image suivante montre les types d'informations ainsi fournies par Facebook sur https://www.facebook.com/.well-known/openid-configuration:

    Un exemple des types d'informations renvoyées par une URL de découverte pour le fournisseur d'identité externe Facebook. Cela inclut, entre autres, l'émetteur, le point de terminaison et les types de réponse et les revendications pris en charge.

  • Identifiant client—Cette valeur est attribuée par votre fournisseur d'identité externe pour que vous l'utilisiez avec CXone. Lors de l'authentification, il permet à l'IdP de savoir quelle application tente de s'authentifier.
  • Client secret : cette valeur garantit que l’authentification est sécurisée et permet de s’assurer que les acteurs malveillants ne peuvent pas utiliser le fournisseur d’identité externe pour s’authentifier auprès de votre unité d’exploitation CXone. CXone ne prend en charge que client_secret_basic et client_secret_post.

Croire en SAML 2.0

Plusieurs paramètres de configuration sont utilisés pour établir la confiance avec SAML 2.0. Rapprochez-vous de votre Représentant de compte CXone afin d’utiliser ces paramètres pour créer une relation de confiance entre votre unité d’exploitationFermé Regroupement organisationnel de haut niveau utilisé pour gérer le support technique, la facturation et les paramètres globaux de votre CXone environnement CXone et votre fournisseur d’identité externe.

Champ

Détails
ID d'entité

Un ID unique global pré-rempli et non modifiable que votre fournisseur d'identité externe peut vous demander de saisir de son côté lors de l'utilisation duSAML 2.0 protocole. L'IdP l'inclut comme ID d'entité de l'émetteur dans leSAML 2.0 message de demande. Certains IdP, dont Okta et OneLogin, ne vous obligent pas à configurer l’ID d’entité de leur côté. D'autres, y compris Salesforce, le font.

URL du point de terminaison

L'URL du point de terminaison fournie par votre IdP.
URL d'assertion

Une URL préremplie et non modifiable dont votre fournisseur d'identité a besoin pour configurer SAML 2.0 couler. Il sert d'URL de point de terminaison pour recevoir et analyser une assertion d'authentification. Vous devez entrer cet ID dans votre configuration IdP, généralement dans le champ URL ACS. Certains IdP l'appellent autre chose qu'ACS. Par exemple, dans le modèle Okta SAML 2.0, vous entrez cette URL dans le champ URL d’authentification unique.
Certificat Votre fournisseur d'identité vous fournira un certificat de sécurité.

Authentification des candidatures

Les utilisateurs et les applications sont authentifiés de manière très similaire. La principale différence est que les applications sont authentifiées avec une clé d'accès tandis que les utilisateurs sont authentifiés avec un nom d'utilisateur et un mot de passe. Contrairement aux utilisateurs, les applications ne sont pas obligées d'interagir via un navigateur. Ils peuvent fonctionner dans un environnement de back-office.

Vous pouvez créer un profil utilisateur pour représenter une application au lieu d'un utilisateur. Pour ce faire, créez un profil utilisateur, nommez le profil d'après l'application et créer une clé d'accès. CXone gère l'authentification des applications en interne. Ils ne peuvent pas être authentifiés auprès de fournisseurs d'identité externes.

Autorisation en CXone

L'autorisation est le processus de vérification des ressources auxquelles un utilisateur est autorisé à accéder. Les ressources peuvent inclure des applications, des fichiers et des données. Vous pouvez définir l'accès des utilisateurs aux ressources avec les profils de sécurité. CXone gère automatiquement les autorisations pendant le processus de connexion. Lorsqu'un utilisateur est authentifié, il n'a accès qu'aux ressources pour lesquelles il est autorisé.

La méthode d'authentification d'un utilisateur n'a pas d'incidence sur l'autorisation. CXone utilise le même processus d'autorisation pour tous les utilisateurs. Peu importe qu'ils soient authentifiés avec des clés d'accès ou des mots de passe.