Gérer la fédération avec Azure

Azure n'est que l'un des nombreux fournisseurs d'identité externe (IdP) que vous pouvez utiliser avec CXone. Cette page vous guide, étape par étape, dans la configuration de l'authentification pour votre système CXone à l'aide du fournisseur de Azure.

Si vous procédez à l'implémentation initiale de votre système CXone, des étapes supplémentaires sont à prendre en compte. Nous recommandons de lire les pages d'aide en ligne suivantes qui portent également sur ces considérations :

Effectuez chacune de ces tâches dans l'ordre indiqué.

Avant de commencer, assurez-vous que vous avez accès à l'ID de console de gestion de Microsoft Azure. Vous allez devoir créer une application.

Création et configuration d'une application Azure avec SAML 2.0

  1. Connectez-vous à votre compte de gestion AD Azure.
  2. Créez une application.
    1. Cliquez sur Applications entreprise > Nouvelle application.
    2. Cliquez sur Créer votre propre application.
    3. Entrez un Nom (par exemple, NICE CXone).
    4. Sélectionnez Intégrer une autre application que vous ne trouvez pas dans la galerie (ne figurant pas dans la galerie).
    5. Cliquez sur Créer.
  3. Attribuez des utilisateurs et des groupes en fonction des besoins.
  4. Dans la section Configurer l'authentification unique, cliquez sur Commencer, puis sélectionnez SAML.
  5. Dans le panneau Configuration SAML de base, cliquez sur Modifier, puis configurez SAML :
    1. Dans la section Identificateur (ID entité), cliquez sur Ajouter un identificateur et entrez https://cxone.niceincontact.com/need_to_change. Vous allez remplacer cette valeur par l'URL que vous allez recevoir par la suite.
    2. Dans la section URL de réponse, cliquez sur Ajouter une URL de réponse et dans le champ URI d'audience, entrez https://cxone.niceincontact.com/need_to_change. Vous allez remplacer cette valeur par l'URI que vous allez recevoir par la suite.
  6. Cliquez sur Enregistrer et fermez le volet Configuration SAML de base.
  7. Dans la section Attributs et demandes, sélectionnez l'Identificateur d’utilisateur unique. La valeur que vous choisissez deviendra l'identité fédérée dans CXone.
  8. Azure AD crée automatiquement un certificat de signature SAML. Téléchargez le certificat (Base64).
  9. Dans le volet Certificat de signature SAML, cliquez sur Modifier puis :
    1. Modifiez l'Option de signature pour Signer la réponse SAML.
    2. Cliquez sur Enregistrer et fermez le volet Certificat de signature SAML. Conservez ce fichier pour la configuration de CXone.
  10. Dans le volet de configuration de <nom application>, copiez la valeur de l'URL de connexion. Conservez-la pour la configuration de CXone.
  11. Laissez la fenêtre ouverte. Vous allez modifier votre application Azure en fonction des valeurs renvoyées par la tâche suivante.

Configuration d’un authentificateur de connexion avec SAML 2.0 dans CXone

Autorisations requises:Authentificateur de connexion - Créer

  1. Cliquez sur le sélecteur d'applications et sélectionnezAdministrateur.
  2. Cliquez sur Sécurité > Authentificateur de connexion.
  3. Cliquez sur Créer nouveau.
  4. Entrez le Nom et la description de l'authentificateur de connexion.
  5. Sélectionnez SAML2 en tant que Type d'authentification .
  6. Entrez le point de terminaison de la requête SAML que Azure vous a transmis comme URL du point de terminaison.
  7. Cliquez sur Choisir fichier et sélectionnez le certificat de signature publique que vous avez téléchargé depuis Azure lors de la tâche précédente. Ce fichier doit être de type PEM. Il s'agit d'un fichier texte et la première ligne doit contenir BEGIN CERTIFICATE suivi d'un texte.
  8. Cliquez sur Créer un authentificateur de connexion.
  9. Ouvrez l'authentificateur de connexion.

  10. Vous pouvez constater que deux champs en lecture seule s'affichent, ID de l'entité et URL de l'assertion. Notez ces valeurs. Vous en aurez besoin pour la tâche Ajouter des valeurs CXone à Azure.

Assigner des utilisateurs à l'authentificateur de connexion

  1. Cliquez sur le sélecteur d'applications et sélectionnezAdmin.

  2. Cliquez sur Utilisateurs.

  3. Sélectionnez l'utilisateur auquel vous souhaitez assigner l'authentificateur de connexion, ou cliquez sur Créer pour créer un utilisateur.

  4. Dans l'onglet Général, cliquez sur Éditer.

  5. Dans la section Sécurité, sélectionnez l'authentificateur de connexion que vous avez créé récemment dans la liste déroulante Authentificateur de connexion.

  6. Cliquez sur Terminé.

Ajout de valeurs CXone dans Azure

  1. Revenez dans votre application Azure et dans le volet Configuration SAML de base, cliquez sur Modifier.
  2. Pour l'Identificateur (ID entité), entrez la valeur de l'ID d'entité provenant de votre authentificateur de connexion CXone.
  3. Pour l'URL de réponse, saisissez la valeur de l'URL de l'assertion provenant de votre authentificateur de connexion CXone.
  4. Cliquez sur Enregistrer et fermez le volet Configuration SAML de base.

  5. Assurez-vous que l'Identité externe de tout utilisateur exécutant l'authentificateur de connexion est définie sur la valeur correcte.

    1. La valeur exacte à utiliser dépend de votre fournisseur d'identité. Cette valeur doit correspondre exactement à l'Identificateur utilisateur unique dans Azure et à l'Identité externe dans CXone.

  6. Demandez à l'utilisateur de se connecter à pour CXone. Il doit utiliser pour cela l'URL de connexion CXone la plus récente. Une fois son nom d'utilisateur entré, il est dirigé vers le fournisseur d'identité externe si nécessaire. CXone ne prend pas en charge les processus de fournisseur d'identité amorcés depuis Azure.

Vérifiez l'accès utilisateur avec l'authentification unique d'Azure

  1. Assurez-vous que l'Identité externe de chaque utilisateur utilisant l'authentificateur de connexion est définie sur la bonne valeur. Cette valeur doit correspondre exactement à l' Identificateur utilisateur unique défini dans Azure et à l'identité fédérée dans CXone.

  2. Demandez à au moins un utilisateur de test de se connecter avec l'URL de connexion CXone la plus récente. Ils doivent saisir leur nom d'utilisateur, puis sont dirigés vers Azure si nécessaire.

  3. Lorsque vous êtes prêt, déployez l'authentification unique d'Azure pour tous les utilisateurs.

Configuration d’une application Azure avec OpenID Connect

  1. Connectez-vous à votre compte de gestion Azure.

  2. Sous Inscriptions d’applications, cliquez sur Nouvelle inscription.

  3. Accédez à Authentification > Web.

  4. Vous devrez fournir des URI de redirection, que vous ne connaissez pas à ce stade. Utilisez https://cxone.niceincontact.com/need_to_change comme emplacement réservé.

  5. Cliquez sur Certificats et secrets.

  6. Sélectionnez client_secret_basic ou client_secret_post comme méthode d’authentification. La méthode d'authentification private_key_jwt n'est pas prise en charge actuellement dans CXone.

  7. Dans le champ Secrets des clients, sélectionnez Nouveau secret de client.

  8. Ajoutez une description puis sélectionnez Expire.

  9. Copiez l'identifiant du client et le secret du client et collez-les dans un emplacement sûr de votre appareil. Vous devrez les utiliser lorsque vous configurerez un authentificateur de connexion dans CXone.

  10. Accédez à Configuration du jeton > Revendications optionnelles.

  11. Cliquez sur Ajouter une revendication optionnelle.

  12. Sélectionnez ID comme type de jeton.

  13. Sélectionnez e-mail et ajoutez votre adresse e-mail.

  14. Cliquez sur Sauvegarder.

Configuration d’un authentificateur de connexion CXone avec OpenID Connect

  1. Cliquez sur le sélecteur d'applications et sélectionnezAdmin.

  2. Cliquez sur Authentificateur de connexion.

  3. Cliquez sur Créer ou sélectionnez l’authentificateur de connexion à modifier.
  4. Entrez le Nom et la description de l'authentificateur de connexion.
  5. Sélectionnez OIDC en tant que Type d'authentification.
  6. Si vous disposez d'un point de sortie de découverte de Azure, cliquez surParamètres de découverte. Entrez votre point de terminaison de découverte et cliquez sur Découvrir. Les champs restants sont renseignés pour vous. Paramètres de découverte ne fonctionne pas avec les points de sortie de découverte Salesforce .
  7. Entrez votre Identifiant du client et Mot de passe du client. Retapez le mot de passe dans Client Confirmer le mot de passe. L’identifiant client est l’ID de connexion affecté à votre compte par Azure.

  8. Si vous ne disposez pas d'un point de sortie de découverte de Azure, entrez l’émetteur, l’extrémité JsonWebKeySet, l’extrémité d'autorisation, l’extrémité de jeton, l’extrémité d'informations utilisateur, l’extrémité de révocation et le point de terminaison de session de fin. Toutes ces informations sont fournies par Azure.

    champs

    Détails
    Émetteur

    URL de Azuresans aucun paramètre.
    Terminaison JsonWebKeySet L’URL de l’ensemble JWK de Azure.
    Point de terminaison de l'autorisation L’URL de l’extrémité d'autorisation OAuth 2.0 de Azure.
    Terminaison de jeton L’URL de l’extrémité de jeton OAuth 2.0 de Azure.
    Terminaison d'informations utilisateur L’URL de l’extrémité d'informations utilisateur de Azure.
    Terminaison de révocation L’URL de l’extrémité de révocation de Azure.
    Terminaison de session de fin

    L’URL du point de terminaison de session de fin de Azure. Ce champ vous permet de créer une expérience de déconnexion unique pour vos utilisateurs. S’il est configuré, lorsque les utilisateurs se déconnectent de CXone, ils sont également déconnectés de leur compte Azure. Pour que la déconnexion unique fonctionne, vous devez mettre sur liste blanche l'URI de redirection de déconnexion dans Azure.

    Si Salesforce est votre fournisseur d’identité, vous devez configurer une URL de déconnexion dans Salesforce. Pour ce faire, accédez à Paramètres > Sécurité >Paramètres de session > Paramètres de la page de déconnexion. Mettez à jour le champ URL de déconnexion. Vous utiliserez cette URL comme point de terminaison de session de fin.
  9. Sélectionnez une méthode d'authentification du client. La méthode sélectionnée doit correspondre à celle que vous avez définie dans la tâche précédente. Il doit s'agir d'une méthode d'authentification prise en charge par Azure .
  10. Vous pouvez sélectionner Activer le profil FICAM pour activer les paramètres propres à la législation américaine. Cette étape est uniquement destinée aux utilisateurs FedRAMP.
  11. Cliquez sur Créer un authentificateur de connexion pour valider les informations fournies et pour lier votre compte CXone à votre compte Azure.
  12. Ouvrez l'authentificateur de connexion.

  13. Notez l'URI de redirection de connexion et l'URI de redirection de déconnexion. Vous en aurez besoin lorsque vous mettrez à jour vos paramètres Azure.

  14. Mettez à jour vos paramètres Azure et entrez les valeurs que vous avez notées dans les emplacements réservés ci-dessus.

  15. Assurez-vous que l'identité externe CXone de tout utilisateur exécutant l'authentificateur de connexion est définie sur la valeur correcte.

    Azure détermine la valeur à utiliser. Elle se trouve dans le profil de l'utilisateur dans Azure. Cette valeur doit correspondre exactement à ce que vous avez entré dans le champ Identité externe dans CXone. La valeur de ce champ doit être au format claim(email):{e-mail configuré par votre fournisseur d’identité}. Par exemple, si l’e-mail de l’utilisateur est nick.carraway@classics.com pour le fournisseur d’identité, vous devez entrer claim(email):nickcarraway@classics.com.

  16. Demandez à l'utilisateur de se connecter à CXone. Il doit pour cela disposer de l'URL de connexion la plus récente. Il doit saisir son nom d'utilisateur, puis est dirigé vers Azure si nécessaire.

  17. Lorsque Azure vous demande de vous authentifier, faites-le en tant qu'utilisateur de Azure que vous souhaitez associer au compte CXone actuellement connecté.
  18. Si vos paramètres OpenID Connect dans CXone, ne sont pas validés, utilisez les fichiers journaux créés par Azure pour diagnostiquer le problème.