Configuration de l’authentification CXone avec Microsoft Azure comme fournisseur d’identité externe

Cette page vous guide pas à pas dans la configuration de l’authentification pour votre système CXone avec Microsoft Azure comme fournisseur d’identité externe. Si vous configurez Azure comme fournisseur d’identité externe pour un système CXone déjà en place, vous n’avez pas effectué certaines des tâches décrites ici. Reportez-vous plutôt à la page d'aideGérer la fédération avec Azure.

Avant que vous commencez

  • Acquérir une compréhension de base des concepts et de la terminologie d'authentification et d'autorisation si vous n'avez jamais mis en place un processus comme celui-ci auparavant.
  • Revoir le CXone-processus spécifique si c'est la première fois que vous travaillez avec l'authentification dans CXone.
  • Tenez compte de vos utilisateurs humains et des niveaux d'accès dont ils ont besoin. Décidez si les personnes ayant un plus grand accès devraient avoir des niveaux de sécurité plus élevés.
  • Décidez si vous utiliserez des exigences de mot de passe personnalisées, une authentification multifacteur (MFA) ou les deux à appliquer.
  • En fonction de vos décisions, dressez une liste des authentificateurs de connexion. La liste doit inclure les exigences de mot de passe et le statut MFA que vous souhaitez utiliser pour chaque authentificateur de connexion.
  • Déterminez si vous devez inclure l'authentification et l'autorisation pour des applications telles que des bots ou des assistants virtuels intelligents (IVA). Si c'est le cas, vous devrez créer des clés d'accès.
  • Familiarisez-vous avec le protocole d’authentification SAML 2.0. CXone prend en charge SAML 2.0 pour l’intégration avec Azure.
  • Évaluer la combinaison d'IdP et de protocole pour vous assurer que vos cas d'utilisation et vos flux d'utilisateurs sont pris en charge, et pour identifier les problèmes potentiels. Cela devrait inclure des tests réels.

Votre NICE CXone peut vous soutenir et vous guider dans ce processus de planification. Une bonne planification permet une mise en œuvre plus fluide. La mise en œuvre de l'authentification et de l'autorisation lorsque des besoins immédiats se présentent est plus susceptible d'entraîner des problèmes.

Effectuez chacune de ces tâches dans l'ordre indiqué.

Avant de commencer, assurez-vous que vous avez accès à l'ID de console de gestion de Microsoft Azure. Vous allez devoir créer une application.

Création et configuration d'une application Azure avec SAML 2.0

  1. Connectez-vous à votre compte de gestion AD Azure.
  2. Créez une application.
    1. Cliquez sur Applications entreprise > Nouvelle application.
    2. Cliquez sur Créer votre propre application.
    3. Entrez un Nom (par exemple, NICE CXone).
    4. Sélectionnez Intégrer une autre application que vous ne trouvez pas dans la galerie (ne figurant pas dans la galerie).
    5. Cliquez sur Créer.
  3. Attribuez des utilisateurs et des groupes en fonction des besoins.
  4. Dans la section Configurer l'authentification unique, cliquez sur Commencer, puis sélectionnez SAML.
  5. Dans le panneau Configuration SAML de base, cliquez sur Modifier, puis configurez SAML :
    1. Dans la section Identificateur (ID entité), cliquez sur Ajouter un identificateur et entrez https://cxone.niceincontact.com/need_to_change. Vous allez remplacer cette valeur par l'URL que vous allez recevoir par la suite.
    2. Dans la section URL de réponse, cliquez sur Ajouter une URL de réponse et dans le champ URI d'audience, entrez https://cxone.niceincontact.com/need_to_change. Vous allez remplacer cette valeur par l'URI que vous allez recevoir par la suite.
  6. Cliquez sur Enregistrer et fermez le volet Configuration SAML de base.
  7. Dans la section Attributs et demandes, sélectionnez l'Identificateur d’utilisateur unique. La valeur que vous choisissez deviendra l'identité fédérée dans CXone.
  8. Azure AD crée automatiquement un certificat de signature SAML. Téléchargez le certificat (Base64).
  9. Dans le volet Certificat de signature SAML, cliquez sur Modifier puis :
    1. Modifiez l'Option de signature pour Signer la réponse SAML.
    2. Cliquez sur Enregistrer et fermez le volet Certificat de signature SAML. Conservez ce fichier pour la configuration de CXone.
  10. Dans le volet de configuration de <nom application>, copiez la valeur de l'URL de connexion. Conservez-la pour la configuration de CXone.
  11. Laissez la fenêtre ouverte. Vous allez modifier votre application Azure en fonction des valeurs renvoyées par la tâche suivante.

Configurer un emplacement

Autorisations requises : Gestion d'emplacement – Créer

Si vous souhaitez exiger que les utilisateurs se connectent à partir d'une certaine adresse IP, créez un emplacement avec les adresses IP, les plages d'adresses IP ou les sous-réseaux d'adresses IP que vous souhaitez autoriser. Lorsque vous exigez un emplacement configuré pour un utilisateur, celui-ci doit disposer à la fois des informations d'identification et de l'adresse IP correctes pour se connecter. Dans le cas contraire, sa tentative de connexion échoue et il reçoit un message d'erreur. Vous pouvez définir jusqu'à 20 emplacements à la fois et jusqu'à 10 règles par emplacement.

  1. Cliquez sur le sélecteur d'applications et sélectionnezAdmin.
  2. Accédez à EmplacementsDéfinitions de l'emplacement.
  3. Cliquez sur Nouvel emplacement.
  4. Donnez un nom descriptif à l’emplacement. Si vous souhaitez ajouter des détails supplémentaires sur l'emplacement, saisissez une description.
  5. Vous pouvez sélectionner l’option Définir comme emplacement par défaut ou Emplacement distant pour indiquer le type d'emplacement. Vous ne pouvez définir qu'un seul emplacement par défaut. Ces champs n'ont actuellement aucune incidence sur les fonctionnalités ; vous les sélectionnez uniquement pour votre propre référence.
  6. Ajoutez toute autre information qui vous intéresse dans les champs restants, y compris l'adresse physique, le pays, les coordonnées GPS, le fuseau horaire ou les groupes assignés. Ces champs n'ont actuellement aucune incidence sur les fonctionnalités ; vous les renseignez uniquement pour votre propre référence.

    Si vous ajoutez des groupes au champ Groupes assignés, les utilisateurs appartenant à ces groupes figurent dans l'onglet Utilisateurs assignés. Cependant, les paramètres de localisation ne s'y appliquent pas. Si vous attribuez un emplacement à un authentificateur de connexion, l'emplacement s'applique aux utilisateurs qui sont affectés à cet authentificateur de connexion et limite leur capacité à se connecter en fonction de leur adresse IP. Néanmoins, ces utilisateurs ne figurent pas dans l'onglet Utilisateurs assignés.

  7. Cliquez sur Enregistrer.

  8. Revenez à la page Définitions d'emplacement, puis cliquez sur l'emplacement que vous venez de créer pour l'ouvrir.

  9. Cliquez sur l’onglet Règles d'autodétection.

  10. Créez une nouvelle règle. Pour ce faire :

    1. Cliquez sur Nouvelle règle.

    2. Donnez un nom descriptif à la règle.

    3. Sélectionnez le type de règle dans les champs suivants :

      • Liste : liste des adresses IP spécifiques autorisées pour cet emplacement. Par exemple, 100.0.1.100, 100.0.1.101 et 100.0.1.102.

      • Plage : plage d'adresses IP autorisée pour cet emplacement. Par exemple, 100.0.1.100-100.0.1.125.

      • Sous-réseau : sous-réseau autorisé pour cet emplacement. Par exemple, 100.0.0.1/32.

    4. Spécifiez l’une des versions IP suivantes :

      • IPV4 : adresse IP de 32 bits

      • IPV6 : adresse hexadécimale de 128 bits.

    5. Saisissez les adresses IP réelles, la plage ou le sous-réseau dans le champ Définition de la règle, en suivant les formats des exemples des étapes précédentes. Si vous avez sélectionné Liste, vous pouvez saisir jusqu'à 100 adresses IP. Si vous avez sélectionné Plage ou Sous-réseau, vous ne pouvez saisir qu'une seule valeur.

    6. Cliquez sur Confirmer.

  11. Ajoutez d’autres règles, si nécessaire. Vous pouvez en ajouter jusqu'à 10.

  12. Cliquez sur Enregistrer.

Configuration d’un authentificateur de connexion avec SAML 2.0 dans CXone

Autorisations requises:Authentificateur de connexion - Créer

  1. Cliquez sur le sélecteur d'applications et sélectionnezAdministrateur.
  2. Cliquez sur Sécurité > Authentificateur de connexion.
  3. Cliquez sur Créer nouveau.
  4. Entrez le Nom et la description de l'authentificateur de connexion.
  5. Sélectionnez SAML2 en tant que Type d'authentification .
  6. Entrez le point de terminaison de la requête SAML que Azure vous a transmis comme URL du point de terminaison.
  7. Cliquez sur Choisir fichier et sélectionnez le certificat de signature publique que vous avez téléchargé depuis Azure lors de la tâche précédente. Ce fichier doit être de type PEM. Il s'agit d'un fichier texte et la première ligne doit contenir BEGIN CERTIFICATE suivi d'un texte.
  8. Cliquez sur Créer un authentificateur de connexion.
  9. Ouvrez l'authentificateur de connexion.
  10. Vous pouvez constater que deux champs en lecture seule s'affichent, ID de l'entité et URL de l'assertion. Notez ces valeurs. Vous en aurez besoin pour la tâche Ajouter des valeurs CXone à Azure.

Assigner des utilisateurs à l'authentificateur de connexion

  1. Cliquez sur le sélecteur d'applications et sélectionnezAdmin.
  2. Cliquez sur Utilisateurs.

  3. Sélectionnez l'utilisateur auquel vous souhaitez assigner l'authentificateur de connexion, ou cliquez sur Créer pour créer un utilisateur.

  4. Dans l'onglet Général, cliquez sur Éditer.

  5. Dans la section Sécurité, sélectionnez l'authentificateur de connexion que vous avez créé récemment dans la liste déroulante Authentificateur de connexion.

  6. Cliquez sur Terminé.

Ajout de valeurs CXone dans Azure

  1. Revenez dans votre application Azure et dans le volet Configuration SAML de base, cliquez sur Modifier.
  2. Pour l'Identificateur (ID entité), entrez la valeur de l'ID d'entité provenant de votre authentificateur de connexion CXone.
  3. Pour l'URL de réponse, saisissez la valeur de l'URL de l'assertion provenant de votre authentificateur de connexion CXone.
  4. Cliquez sur Enregistrer et fermez le volet Configuration SAML de base.
  5. Assurez-vous que l'Identité externe de tout utilisateur exécutant l'authentificateur de connexion est définie sur la valeur correcte.

    1. La valeur exacte à utiliser dépend de votre fournisseur d'identité. Cette valeur doit correspondre exactement à l'Identificateur utilisateur unique dans Azure et à l'Identité externe dans CXone.

  6. Demandez à l'utilisateur de se connecter à pour CXone. Il doit utiliser pour cela l'URL de connexion CXone la plus récente. Une fois son nom d'utilisateur entré, il est dirigé vers le fournisseur d'identité externe si nécessaire. CXone ne prend pas en charge les processus de fournisseur d'identité amorcés depuis Azure.

Vérifiez l'accès utilisateur avec l'authentification unique d'Azure

  1. Assurez-vous que l'Identité externe de chaque utilisateur utilisant l'authentificateur de connexion est définie sur la bonne valeur. Cette valeur doit correspondre exactement à l' Identificateur utilisateur unique défini dans Azure et à l'identité fédérée dans CXone.

  2. Demandez à au moins un utilisateur de test de se connecter avec l'URL de connexion CXone la plus récente. Ils doivent saisir leur nom d'utilisateur, puis sont dirigés vers Azure si nécessaire.

  3. Lorsque vous êtes prêt, déployez l'authentification unique d'Azure pour tous les utilisateurs.

Configuration d’une application Azure avec OpenID Connect

  1. Connectez-vous à votre compte de gestion Azure.

  2. Sous Inscriptions d’applications, cliquez sur Nouvelle inscription.

  3. Accédez à Authentification > Web.

  4. Vous devrez fournir des URI de redirection, que vous ne connaissez pas à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme emplacement réservé.

  5. Cliquez sur Certificats et secrets.

  6. Sélectionnez client_secret_basic ou client_secret_post comme méthode d’authentification. La méthode d'authentification private_key_jwt n'est pas prise en charge actuellement dans CXone.

  7. Dans le champ Secrets des clients, sélectionnez Nouveau secret de client.

  8. Ajoutez une description puis sélectionnez Expire.

  9. Copiez l'identifiant du client et le secret du client et collez-les dans un emplacement sûr de votre appareil. Vous devrez les utiliser lorsque vous configurerez un authentificateur de connexion dans CXone.

  10. Accédez à Configuration du jeton > Revendications optionnelles.

  11. Cliquez sur Ajouter une revendication optionnelle.

  12. Sélectionnez ID comme type de jeton.

  13. Sélectionnez e-mail et ajoutez votre adresse e-mail.

  14. Cliquez sur Enregistrer.

Configuration d’un authentificateur de connexion CXone avec OpenID Connect

  1. Cliquez sur le sélecteur d'applications et sélectionnezAdmin.

  2. Cliquez sur Authentificateur de connexion.

  3. Cliquez sur Créer ou sélectionnez l’authentificateur de connexion à modifier.
  4. Entrez le Nom et la description de l'authentificateur de connexion.
  5. Sélectionnez OIDC en tant que Type d'authentification.
  6. Si vous disposez d'un point de sortie de découverte de Azure, cliquez surParamètres de découverte. Entrez votre point de terminaison de découverte et cliquez sur Découvrir. Les champs restants sont renseignés pour vous. Paramètres de découverte ne fonctionne pas avec les points de sortie de découverte Salesforce .
  7. Entrez votre Identifiant du client et Mot de passe du client. Retapez le mot de passe dans Client Confirmer le mot de passe. L’identifiant client est l’ID de connexion affecté à votre compte par Azure.
  8. Si vous ne disposez pas d'un point de sortie de découverte de Azure, entrez l’émetteur, l’extrémité JsonWebKeySet, l’extrémité d'autorisation, l’extrémité de jeton, l’extrémité d'informations utilisateur, l’extrémité de révocation et le point de terminaison de session de fin. Toutes ces informations sont fournies par Azure.

  9. Sélectionnez une méthode d'authentification du client. La méthode sélectionnée doit correspondre à celle que vous avez définie dans la tâche précédente. Il doit s'agir d'une méthode d'authentification prise en charge par Azure .
  10. Vous pouvez sélectionner Activer le profil FICAM pour activer les paramètres propres à la législation américaine. Cette étape est uniquement destinée aux utilisateurs FedRAMP.
  11. Cliquez sur Créer un authentificateur de connexion pour valider les informations fournies et pour lier votre compte CXone à votre compte Azure.
  12. Ouvrez l'authentificateur de connexion.
  13. Notez l'URI de redirection de connexion et l'URI de redirection de déconnexion. Vous en aurez besoin lorsque vous mettrez à jour vos paramètres Azure.

  14. Mettez à jour vos paramètres Azure et entrez les valeurs que vous avez notées dans les emplacements réservés ci-dessus.

  15. Assurez-vous que l'identité externe CXone de tout utilisateur exécutant l'authentificateur de connexion est définie sur la valeur correcte.

    Azure détermine la valeur à utiliser. Elle se trouve dans le profil de l'utilisateur dans Azure. Cette valeur doit correspondre exactement à ce que vous avez entré dans le champ Identité externe dans CXone. La valeur de ce champ doit être au format claim(email):{e-mail configuré par votre fournisseur d’identité}. Par exemple, si l’e-mail de l’utilisateur est nick.carraway@classics.com pour le fournisseur d’identité, vous devez entrer claim(email):nickcarraway@classics.com.

  16. Demandez à l'utilisateur de se connecter à CXone. Il doit pour cela disposer de l'URL de connexion la plus récente. Il doit saisir son nom d'utilisateur, puis est dirigé vers Azure si nécessaire.

  17. Lorsque Azure vous demande de vous authentifier, faites-le en tant qu'utilisateur de Azure que vous souhaitez associer au compte CXone actuellement connecté.
  18. Si vos paramètres OpenID Connect dans CXone, ne sont pas validés, utilisez les fichiers journaux créés par Azure pour diagnostiquer le problème.

Créer des profils de sécurité

Autorisations requises : Profil de sécurité – Créer

  1. Utilisez l'une des méthodes suivantes pour créer le profil de sécurité et donnez-lui un nom :

    • Pour créer un nouveau profil de sécurité vierge :

      1. Cliquez sur le sélecteur d'applications et sélectionnezAdmin.
      2. Allez à Profils de sécurité.
      3. Cliquez sur Créer nouveau.

      4. Entrez un Nom pour le profil de sécurité.

      5. Entrez une description si vous en voulez un.

      6. Pour Créer, sélectionnez un profil de sécurité vierge.

    • Pour créer rapidement un nouveau profil de sécurité qui en copie un existant :

      1. Cliquez sur le sélecteur d'applications et sélectionnezAdmin.
      2. Allez à Profils de sécurité.
      3. Ouvrez le profil de sécurité que vous souhaitez copier.

      4. Cliquez sur Copie.

      5. Entrez un Nom pour le profil de sécurité.

      6. Entrez une description si vous en voulez un.

  2. Cliquez sur Suivant.

  3. Activez les autorisations pour chaque produit et fonctionnalité que vous souhaitez que les utilisateurs aient. Certaines autorisations, telles que les paramètres utilisateur et la sécurité, sont regroupées. Pour voir les autorisations à l'intérieur des groupes, cliquez sur Individuel à côté du nom du groupe.

  4. Cliquez sur Suivant.

  5. Activez les autorisations pour chaque rapport que vous souhaitez que les utilisateurs aient.

  6. Cliquez sur Suivant.

  7. Restreindre l'accès aux données en CampagnesFermé Regroupement de compétences utilisées pour exécuter des rapports., équipes, profils attribuables, groupes et Unités d'affairesFermé Regroupement organisationnel de haut niveau utilisé pour gérer le support technique, la facturation et les paramètres globaux de votre CXone environnement. Pour chaque type de données, indiquez si vous souhaitez que les utilisateurs accèdent aux données Tout & Avenir de ce type,Aucun ou Personnalisé.

  8. Si vous avez choisi Personnalisé pour un type de données, utilisez la fenêtre contextuelle pour spécifier les entités de ce type de données auxquelles les utilisateurs peuvent accéder. Cliquez sur Terminé.

    Les nouvelles campagnes, équipes, profils de sécurité, groupes et unités commerciales ne sont pas automatiquement ajoutés aux listes personnalisées lors de leur création. Vous devez mettre à jour la liste personnalisée si vous souhaitez que les utilisateurs accèdent aux nouvelles données.

  9. Cliquez sur Suivant.
  10. Cliquez sur Créer un profil de sécurité.

Créer ou modifier des utilisateurs

Autorisations requises : Utilisateurs – Créer

Si vous configurez l'authentification avec un fournisseur d'identité externe pour une CXone unité commerciale, vous n'avez pas à créer de nouveaux comptes d'utilisateurs. Vous devrez modifier les comptes d'utilisateurs et configurer les champs Type d'identité externe etIdentité fédérée. Cela doit être fait pour chaque utilisateur qui s'authentifiera via l'IdP externe. Les champs sont expliqués à l'étape 4 de cette tâche.

Lorsque vous créez de nouveaux utilisateurs, vous avez la possibilité de créer de nouveaux utilisateurs individuels ou de télécharger plusieurs nouveaux comptes d'utilisateurs en même temps. Ces instructions permettent de créer des utilisateurs uniques dans la Admin application. Voyez Gérer plusieurs utilisateurs à la fois pour obtenir des instructions sur la création ou la modification de plusieurs utilisateurs en même temps.

CXone offre de nombreuses options et paramètres afin que vous puissiez personnaliser vos utilisateurs. C'est une bonne idée de lire toute cette tâche et de vous assurer que vous savez quels paramètres vous devez configurer avant de commencer.

  1. Cliquez sur le sélecteur d'applications et sélectionnezAdmin.
  2. Cliquez sur Utilisateurs.

  3. Ouvrez le nouveau formulaire de création d'utilisateur de l'une des manières suivantes :

    • Si vous souhaitez créer un nouvel utilisateur avec un formulaire vierge, cliquez sur Créer un nouveau et sélectionnez Utilisateur unique.
    • Si vous souhaitez créer un nouvel utilisateur basé sur le profil d'un utilisateur existant, ouvrez le profil de cet utilisateur et cliquez sur Copie.
  4. Entrez le Prénom, le Nom de famille, l'E-mail, le Nom d'utilisateur (sous la forme d'une adresse e-mail), Profil de sécurité, Équipe, L'utilisateur utilisera (fuseau horaire), Ville et Pays de l'utilisateur. Si les champs sont disponibles, définissez le mot de passe à l'aide des champs Mot de passe et Confirmez le mot de passe. Entrez toute autre information que vous souhaitez ajouter au profil de l'utilisateur.

  5. Sélectionnez un authentificateur de connexion (LA).

    Tous les utilisateurs doivent être affectés à un authentificateur de connexion, faute de quoi ils ne pourront pas se connecter à CXone.

    Le type de LA déterminera la manière dont l'utilisateur se connectera à CXone. Vous pouvez configurer deux types d'authentificateurs de connexion.

    LA système : les utilisateurs affectés à un LA système se connecteront à l'aide d'informations d'identification gérées par CXone.

    LA externes : les utilisateurs affectés à un LA externe se connecteront par l'intermédiaire d'un fournisseur d'identité (IdP) externe. Les LA externes sont configurés avec SAML 2.0 ou OpenID Connect.

  6. Si vous avez activé les URL personnalisées du téléphone logiciel intégré (WebRTC), configurez l'URL du téléphone logiciel intégré et Poids de l'URL selon vos besoins.

  7. Cliquez sur Sauvegarder et continuer.
  8. Définissez l'utilisateur à Délais de refus pour chaque canal, Modèle de numérotation etSeuil de voix de l'agent par défaut. Si vous le souhaitez, sélectionnez Supprimer la sonnerie -Connexion personnelle.

  9. Si votre environnement est activé pour livraison statique, définissez le nombre par défaut de Chats simultanés etE-mails parqués automatiquement. Indiquez si l'utilisateur peut Demande de contact.

  10. Si votre environnement est activé pour livraison dynamique, définissez le nombre maximal de contacts simultanés que l'utilisateur peut gérer par canal. Si vous avez livraison dynamique paramètres activés granulés, définissez la Mode de livraison et le Nombre total de contacts pour l'utilisateur.

  11. Si vous avez activé une intégration WFO autre queCXone WFO (comme Uptivity WFO) et que vous souhaitez configurer l'enregistrement, entrez le Domaine système, le Nom d'utilisateur du système et le Téléphone (s.

  12. Dans la section MAXVersion, vous pouvez déterminer quelle version de MAX vous voulez que cet utilisateur utilise.
  13. Si vous avez CXone WFM activé, configurez les paramètres de notification de l'agent.

  14. Si vous avez NICE CXone WFO et que vous souhaitez intégrer un CRM, entrez le Nom d'utilisateur CRM de l'agent pour l'associer à l'utilisateur.

  15. Cliquez sur Enregistrer.

Authentifier les applications

Les utilisateurs et les applications sont authentifiés de manière très similaire. La principale différence est que les applications sont authentifiées avec une clé d'accès tandis que les utilisateurs sont authentifiés avec un nom d'utilisateur et un mot de passe. Contrairement aux utilisateurs, les applications ne sont pas obligées d'interagir via un navigateur. Les applications sont généralement des fonctionnalités de back-office ou des agents virtuels intelligentsFermé Chatbot ou application similaire qui interagit avec un utilisateur basé sur l'intelligence artificielle (IVA).

Pour configurer une application avec laquelle interagirCXone, créer un profil utilisateur et nommez le profil d'après l'application. Créez ensuite une clé d'accès pour l'utilisateur de l'application comme suit :

Autorisation en CXone

L'autorisation est le processus de vérification des ressources auxquelles un utilisateur est autorisé à accéder. Les ressources peuvent inclure des applications, des fichiers et des données. Vous pouvez définir l'accès des utilisateurs aux ressources avec un contrôle d'accès basé sur les rôles. CXone gère automatiquement l'autorisation lors de l'authentification. Lorsqu'un utilisateur est authentifié, il n'a accès qu'aux ressources pour lesquelles il est autorisé.

La méthode d'authentification d'un utilisateur n'a pas d'incidence sur l'autorisation. CXone utilise le même processus d'autorisation pour tous les utilisateurs. Peu importe qu'ils soient authentifiés avec des clés d'accès ou des mots de passe.