Azureとのフェデレーション管理

Azureは、 CXone Mpowerと使用できる対応した外部アイデンティティプロバイダー (IdP) の 1 つに過ぎません。 このページでは、Azureを使用するあなたのCXone Mpowerシステム用に認証をセットアップする手順をステップバイステップで説明します。

CXone Mpowerシステムの初期実装を行う場合、さらに検討すべきステップがあります。 これらの検討事項を含む以下のオンラインヘルプをお読みになることをお勧めします。

始める前に、 Microsoft AzureID管理コンソールにアクセスできることを確認します。 アプリケーションを作成する必要があります。

SAML 2.0でAzureとのフェデレーションを管理します

これらの各タスクを指定された順序で実行します。

SAML 2.0によりAzureアプリケーションを作成および構成する

  1. Azure AD管理者アカウントを使用してAzureAD管理アカウントにログインします。
  2. アプリケーションの作成:
    1. エンタープライズアプリケーション>新規アプリケーションの順にクリックします。
    2. 独自アプリケーションの作成をクリックします。
    3. 名前(例: CXone Mpower)を入力します。
    4. ギャラリーにない他のアプリケーション(ノンギャラリー) を統合するを選択します。
    5. 作成をクリックします。
  3. 必要に応じて、ユーザーとグループをアプリケーションに割り当てます。 ユーザーとグループタブに移動し、ユーザー/グループを追加をクリックします。
  4. アプリケーションの管理ページで、管理セクションを見つけます。 シングルサインオンの設定で、はじめるをクリックし、SAMLを選択します。
  5. ベーシックSAML設定パネルで、 編集 をクリックし、SAML を構成します:
    1. アプリ名を入力します。
    2. 識別子(エンティティID)で、識別子の追加をクリックし、https://need_to_changeと入力します。 後のステップではプレースホルダーをCXone Mpowerログイン認証コードのエンティティIDに置き換えます。
    3. 返信URLで、返信URLを追加をクリックし、オーディエンスURIフィールドにhttps://need_to_changeと入力します。 実際のアサーションコンシューマーサービス(ACS)URIは、CXone Mpowerログイン認証コードから取得します後の手順で
  6. 保存をクリックし、ベーシックSAML設定パネルを閉じます。
  7. 属性とクレームのセクションで、正しい一意のユーザー識別子を選択します。 選択する値は、 CXone Mpowerフェデレーションアイデンティティになります。
  8. AzureADは自動的にSAML署名証明書を作成するはずです。 証明書(Base64)という名前の証明書をダウンロードします。 この証明書は、CXone Mpower後のステップのログイン認証機能にアップロードします。
  9. SAML署名証明書パネルで、 編集をクリックし、次に、
    1. 署名オプションを選択します
    2. 保存をクリックし、SAML署名証明書パネルを閉じます。 このファイルは、CXone Mpower後の手順設定用に保存しておきます。
  10. セットアップ<アプリケーション名>セクションで、ログインURL値をコピーします。 これをCXone Mpowerの設定として保管します。
  11. ウインドウを開けたままにします。 次のタスクで受け取る値に基づいて、 Azureのアプリケーション設定を変更します。

CXone MpowerSAML 2.0でのログイン認証コードを設定します

必須の権限ログイン認証機能の作成

  1. アプリセレクターアプリセレクターのアイコンをクリックして、次を選択します:管理者
  2. セキュリティ設定>ログイン認証コードの順にアクセスします。
  3. 新規作成をクリックします。
  4. ログイン認証機能システムの名前説明を入力します。 説明には、プレーンテキストのみを使用します。 HTML などの URL やマークアップは保存されません。
  5. SAML 2 認証タイプとして選択します。
  6. ファイルの選択をクリックし、前の作業でAzureからダウンロードした公開署名証明書を選択します。 このファイルは、PEMファイルでなければなりません。 それはテキストファイルとなり、最初の行にはBEGIN CERTIFICATEと他の追加テキストが含まれることになります。
  7. ログイン認証コード作成をクリックします。
  8. ログインオーセンティケーターを開きます。

  9. エンティティIDアサーションURLの2つの読み取り専用フィールドが追加で表示されていることが見られます。 この値をメモしておきます。 これらは、CXone Mpower値をAzureに追加するタスクで必要になります。

CXone Mpowerユーザーの構成

このタスクは、CXone Mpowerによるシングルサインオンを必要とするすべてのCXone Mpowerユーザーに対してAzureで完了します。 このステップは、一括アップロードテンプレートを使用して完了することもできます。

  1. CXone Mpowerで、アプリセレクターをクリックし、選択します:管理者

  2. 従業員をクリックします。

  3. 変更する従業員プロファイルを選択し、編集をクリックします。

  4. まだ行っていない場合は、セキュリティタブに移動し、以前作成したログイン認証機能を選択します。

  5. 外部アイデンティティが正しい値に設定されていることを確認します。 値は、一意のユーザー識別子Azureと正確に一致する必要があります。 EメールIDが外部IDとして設定されている場合は、正しくフォーマットしてください。 Azureでは、電子メールIDの形式は firstname.lastname@domain.com で、大文字と小文字が区別されます。

  6. 変更を保存します。

ログイン認証コードにユーザーを割り当てる

  1. アプリセレクターアプリセレクターのアイコンをクリックして、次を選択します:Admin

  2. ユーザーをクリックします。

  3. ログイン認証機能に割り当てるユーザーを選択するか、新規作成をクリックして、 新規ユーザーを作成します

  4. 全般タブで、編集をクリックします。

  5. セキュリティセクションで、ログイン認証機能ドロップダウンから、以前に作成したログイン認証機能を選択します。

  6. [完了]をクリックします。

CXone Mpower値をAzureに追加する

  1. Azureアプリケーションに戻り、ベーシックSAML設定パネルパネルで編集をクリックします。
  2. 識別子(エンティティID)には、 CXone Mpowerログイン認証で取得したエンティティID値を入力します。
  3. 返答URLには、CXone Mpowerログイン認証のアサーションURL値を入力します。
  4. 保存をクリックし、ベーシックSAML設定パネルを閉じます。

SAML統合のテスト

CXone MpowerのユーザーにSAMLログイン認証を割り当てる前に、SAML統合をテストする必要があります。 テストが失敗した場合は、構成を確認し、設定を変更します。

  1. Azureダッシュボードからログインを開始します。
  2. SAML認証フローが期待どおりに機能することを確認します。

Azureシングルサインオンでユーザーアクセスを検証します

  1. ログイン認証を使用する各ユーザー外部アイデンティティが正しい値に設定されていることを確認します。 この値は、 Azure一意のユーザー識別子およびCXone Mpowerフェデレーションアイデンティティと正確に一致する必要があります。

  2. 1人以上のテストユーザーに、最新のCXone MpowerログインURLでログインしてもらう。 ユーザー名を入力後、必要に応じて Azureに誘導されます。

  3. 準備ができたら、Azureシングルサインオンをすべてのユーザーに展開します。

OpenID ConnectでAzureとのフェデレーションを管理します

これらの各タスクを指定された順序で実行します。

OpenID ConnectAzureアプリケーションを設定します。

  1. Azure管理アカウントにログインします。

  2. アプリ登録の下で、新規登録をクリックします。

  3. 認証>ウェブに移動します。

  4. この時点ではわからないリダイレクトURIを入力する必要があります。 https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。

  5. 証明書とシークレットをクリックします。

  6. 認証方法として、client_secret_basicまたはclient_secret_postを選択します。 認証方法であるprivate_key_jwtは、現在CXone Mpowerではサポートされていません。

  7. クライアントシークレットフィールドで、新規クライアントシークレットを選択します。

  8. 説明を追加し、期限切れを選択します。

  9. クライアントIDクライアントシークレットをコピーし、デバイスの安全な場所に貼り付けます。 CXone Mpowerでログイン認証コードを設定する際に、これらを使用する必要があります。

  10. トークン設定>オプション申請に移動します。

  11. オプション申請の追加をクリックします。

  12. トークンタイプとしてIDを選択します。

  13. Eメールを選択し、メールアドレスを追加します。

  14. [保存]をクリックします。

OpenID ConnectCXone Mpowerログイン認証コードを設定します

  1. アプリセレクターアプリセレクターのアイコンをクリックして、次を選択します:Admin

  2. ログイン認証コードをクリックします。

  3. 新規作成をクリックするか、編集するログイン認証コードを選択します。
  4. ログイン認証コードの名前説明を入力します。
  5. OIDC認証タイプとして選択します。
  6. Azureのディスカバリーエンドポイントがある場合は、ディスカバー設定をクリックします。 検出エンドポイントを入力し、検出をクリックします。 残りのフィールドは自動的に入力されます。 ディスカバー設定Salesforceディスカバリーエンドポイントでは動作しません。
  7. クライアントIDクライアントパスワードを入力します。 クライアントの確認パスワードにパスワードを再入力します。 クライアント識別子は、Azureによってアカウントに割り当てたログインIDです。

  8. Azureからのディスカバリーエンドポイントがない場合は、Azure提供の発行者JsonWebKeySetエンドポイント認証エンドポイントトークンエンドポイントユーザー情報エンドポイントおよび失効エンドポイントおよびセッション終了エンドポイントを入力します。

    フィールド

    詳細
    発行者

    パラメーターなしのAzureのURL。
    JsonWebKeySetエンドポイント AzureのJWKセットのURL。
    認証エンドポイント AzureOAuth2.0認証エンドポイントのURL。
    トークンエンドポイント AzureOAuth2.0トークンエンドポイントのURL。
    ユーザー情報エンドポイント Azureのユーザー情報エンドポイントのURL。
    失効エンドポイント Azureの失効エンドポイントのURL。
    セッション終了エンドポイント

    Azureのセッション終了エンドポイントのURL。 このフィールドを使用すると、ユーザーに単一のログアウト体験を提供することができます。 そのように設定されている場合、CXone Mpowerからログアウトすると、Azureアカウントからもログアウトされます。 シングルログアウトを機能させるには、AzureでサインアウトリダイレクトURIをホワイトリストに登録する必要があります。

    SalesforceがIdPである場合、SalesforceでログアウトURLを設定する必要があります。 そのためには、設定>セキュリティ>セッション設定>ログアウトページ設定に移動します。 ログアウトURLフィールドを更新します。 このURLをセッション終了エンドポイントとして使うことになります。
  9. クライアント認証方式を選択します。 選択する方法は、前のタスクで設定したものと一致していなければなりません。 これは、Azureがサポートしている認証方法でなければなりません。
  10. FICAMプロフィールを有効にするを選択して、米国政府固有の設定をオンにすることができます。 このステップはFedRAMPユーザー専用です。
  11. ログイン認証コード作成 をクリックして、提供された情報を検証し、CXone MpowerアカウントをAzureアカウントにリンクします。
  12. ログインオーセンティケーターを開きます。

  13. サインインリダイレクトURIサインアウトリダイレクトURI。 それらはAzure設定を更新するために必要です。

  14. Azure設定を更新し、前のタスクで使用したプレースホルダーを、先ほど説明した値に置き換えます。

  15. ログイン認証コードを使用する各ユーザーのCXone Mpower外部アイデンティティが正しい値に設定されていることを確認します。

    Azureは、使用しなければならない値を決定します。 これは、Azureのユーザープロファイルで確認できます。 この値は、 CXone Mpower外部アイデンティティフィールドに入力したものと正確に一致する必要があります。 このフィールドの値は次の形式でなければなりません:claim(email):{email configured by your IdP}。 たとえば、IdPにあるユーザーのEメールがnick.carraway@classics.com の場合、 claim(email):nickcarraway@classics.comと入力するはずです。

  16. ユーザーにCXone Mpowerにログインしてもらいます。 最新のログインURLを使用する必要があります。 ユーザー名を入力後、必要に応じてAzureに転送されます。

  17. Azureに自分のアカウントを認証するよう求められたら、現在にログインしているCXone Mpowerアカウントに関連付けたいAzureのユーザーとして認証します。
  18. CXone MpowerOpenID Connect設定が検証済みとして表示されない場合、Azureのログを使用して問題を診断してください。

ログイン認証コードにユーザーを割り当てる

  1. アプリセレクターアプリセレクターのアイコンをクリックして、次を選択します:Admin

  2. ユーザーをクリックします。

  3. ログイン認証機能に割り当てるユーザーを選択するか、新規作成をクリックして、 新規ユーザーを作成します

  4. 全般タブで、編集をクリックします。

  5. セキュリティセクションで、ログイン認証機能ドロップダウンから、以前に作成したログイン認証機能を選択します。

  6. [完了]をクリックします。

CXone Mpower値をAzureに追加する

  1. Azureアプリケーションに戻り、ベーシックSAML設定パネルパネルで編集をクリックします。
  2. 識別子(エンティティID)には、 CXone Mpowerログイン認証で取得したエンティティID値を入力します。
  3. 返答URLには、CXone Mpowerログイン認証のアサーションURL値を入力します。
  4. 保存をクリックし、ベーシックSAML設定パネルを閉じます。

  5. ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。

    1. IDプロバイダーが、使用しなければならない値を決定します。 この値は、 Azure一意のユーザー識別子およびCXone Mpower外部アイデンティティと正確に一致する必要があります。

  6. ユーザーにCXone Mpowerにログインしてもらいます。 最新のCXone MpowerログインURLを使用する必要があります。 ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに転送されます。 CXone Mpower は、Azure経由でIdP開始の処理をサポートしません。

Azureシングルサインオンでユーザーアクセスを検証します

  1. ログイン認証を使用する各ユーザー外部アイデンティティが正しい値に設定されていることを確認します。 この値は、 Azure一意のユーザー識別子およびCXone Mpowerフェデレーションアイデンティティと正確に一致する必要があります。

  2. 1人以上のテストユーザーに、最新のCXone MpowerログインURLでログインしてもらう。 ユーザー名を入力後、必要に応じて Azureに誘導されます。

  3. 準備ができたら、Azureシングルサインオンをすべてのユーザーに展開します。