Azureとのフェデレーションを管理する

Azureは、 CXoneと使用できる対応した外部アイデンティティプロバイダー (IdP) の 1 つに過ぎません。 このページでは、Azureを使用するあなたのCXoneシステム用に認証をセットアップする手順をステップバイステップで説明します。

CXoneシステムの初期実装を行う場合、さらに検討すべきステップがあります。 これらの検討事項を含む以下のオンラインヘルプをお読みになることをお勧めします。

始める前に、 Microsoft AzureID管理コンソールにアクセスできることを確認します。 アプリケーションを作成する必要があります。

SAML 2.0でAzureとのフェデレーションを管理します

これらの各タスクを指定された順序で実行します。

SAML 2.0によりAzureアプリケーションを作成および構成する

  1. AzureAD管理アカウントにログインします。
  2. アプリケーションを作成します。
    1. エンタープライズアプリケーション>新規アプリケーションの順にクリックします。
    2. 独自アプリケーションの作成をクリックします。
    3. 名前(例: NICE CXone)を入力します。
    4. ギャラリーにない他のアプリケーション(ノンギャラリー) を統合するを選択します。
    5. 作成をクリックします。
  3. 適切なユーザーとグループを割り当てる。
  4. シングルサインオンの設定で、はじめるをクリックし、SAMLを選択します。
  5. ベーシックSAML設定パネルで、 編集 をクリックし、SAML を構成します:
    1. 識別子(エンティティID)の下で、識別子の追加をクリックし、 https://cxone.niceincontact.com/need_to_changeを入力します。 この値は、後で受け取ったURLに変更します。
    2. 返信URLの下で、返信URLの追加をクリックし、オーディエンスURIフィールドに、 https://cxone.niceincontact.com/need_to_changeを入力します。 この値は、後で受け取ったURIに変更します。
  6. 保存をクリックし、ベーシックSAML設定パネルを閉じます。
  7. 属性とクレームのセクションで、正しい一意のユーザー識別子を選択します。 選択する値は、 CXoneフェデレーションアイデンティティになります。
  8. AzureADは自動的にSAML署名証明書を作成するはずです。 証明書(Base64)という名前の証明書をダウンロードします。
  9. SAML署名証明書パネルで、 編集をクリックし、次に、
    1. 署名オプションSAML返答の署名に変更します。
    2. 保存をクリックし、SAML署名証明書パネルを閉じます。 このファイルは、 CXoneの設定用に保管します。
  10. <application name>セットアップパネルで、 ログインURL の値をコピーします。 これをCXoneの設定として保管します。
  11. ウインドウを開けたままにします。 次のタスクで受け取る値に基づいて、 Azureのアプリケーション設定を変更します。

CXoneSAML 2.0でのログイン認証コードを設定します

必須の権限ログイン認証機能の作成

  1. アプリセレクターをクリックして、次を選択します:管理者
  2. セキュリティ設定>ログイン認証コードの順にアクセスします。
  3. 新規作成をクリックします。
  4. ログイン認証機能システムの名前説明を入力します。
  5. SAML 2 認証タイプとして選択します。

  6. エンドポイントURLとしてAzureから受け取ったSAMLリクエストエンドポイントURLを入力します。

    Entra ID(Azure)を使用している場合は、 リクエスト済認証コンテキストフィールドに入力されている文字列を削除します。 そうでない場合、CXoneにログインしようとするユーザーは、MicrosoftエラーAADSTS75011が表示され、ログインできないことがあります。

  7. ファイルの選択をクリックし、前の作業でAzureからダウンロードした公開署名証明書を選択します。 このファイルは、PEMファイルでなければなりません。 それはテキストファイルとなり、最初の行にはBEGIN CERTIFICATEと他の追加テキストが含まれることになります。
  8. ログイン認証コード作成をクリックします。
  9. ログインオーセンティケーターを開きます。

  10. エンティティIDアサーションURLの2つの読み取り専用フィールドが追加で表示されていることが見られます。 この値をメモしておきます。 それらはCXone値をAzureに追加するタスクで必要になります。

ログイン認証機能にユーザーを割り当てる

  1. アプリセレクターをクリックして、次を選択します:Admin

  2. ユーザーをクリックします。

  3. ログイン認証機能に割り当てるユーザーを選択するか、新規作成をクリックして、 新規ユーザーを作成します

  4. 全般タブで、編集をクリックします。

  5. セキュリティセクションで、ログイン認証機能ドロップダウンから、以前に作成したログイン認証機能を選択します。

  6. [完了]をクリックします。

CXone値をAzureに追加する

  1. Azureアプリケーションに戻り、ベーシックSAML設定パネルパネルで編集をクリックします。
  2. 識別子(エンティティID)には、 CXoneログイン認証で取得したエンティティID値を入力します。
  3. 返答URLには、CXoneログイン認証のアサーションURL値を入力します。
  4. 保存をクリックし、ベーシックSAML設定パネルを閉じます。

  5. ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。

    1. IDプロバイダーが、使用しなければならない値を決定します。 この値は、 Azure一意のユーザー識別子およびCXone外部アイデンティティと正確に一致する必要があります。

  6. ユーザーにCXoneにログインしてもらいます。 最新のCXoneログインURLを使用する必要があります。 ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに転送されます。 CXone は、Azure経由でIdP開始の処理をサポートしません。

Azureシングルサインオンでユーザーアクセスを検証します

  1. ログイン認証を使用する各ユーザー外部アイデンティティが正しい値に設定されていることを確認します。 この値は、 Azure一意のユーザー識別子およびCXoneフェデレーションアイデンティティと正確に一致する必要があります。

  2. 1人以上のテストユーザーに、最新のCXoneログインURLでログインしてもらう。 ユーザー名を入力後、必要に応じて Azureに誘導されます。

  3. 準備ができたら、Azureシングルサインオンをすべてのユーザーに展開します。

OpenID ConnectでAzureとのフェデレーションを管理します

これらの各タスクを指定された順序で実行します。

OpenID ConnectAzureアプリケーションを設定します。

  1. Azure管理アカウントにログインします。

  2. アプリ登録の下で、新規登録をクリックします。

  3. 認証>ウェブに移動します。

  4. この時点ではわからないリダイレクトURIを入力する必要があります。 https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。

  5. 証明書とシークレットをクリックします。

  6. 認証方法として、client_secret_basicまたはclient_secret_postを選択します。 認証方法であるprivate_key_jwtは、現在CXoneではサポートされていません。

  7. クライアントシークレットフィールドで、新規クライアントシークレットを選択します。

  8. 説明を追加し、期限切れを選択します。

  9. クライアントIDクライアントシークレットをコピーし、デバイスの安全な場所に貼り付けます。 CXoneでログイン認証コードを設定する際に、これらを使用する必要があります。

  10. トークン設定>オプション申請に移動します。

  11. オプション申請の追加をクリックします。

  12. トークンタイプとしてIDを選択します。

  13. Eメールを選択し、メールアドレスを追加します。

  14. [保存]をクリックします。

OpenID ConnectCXoneログイン認証コードを設定します

  1. アプリセレクターをクリックして、次を選択します:Admin

  2. ログイン認証コードをクリックします。

  3. 新規作成をクリックするか、編集するログイン認証コードを選択します。
  4. ログイン認証コードの名前説明を入力します。
  5. OIDC認証タイプとして選択します。
  6. Azureのディスカバリーエンドポイントがある場合は、ディスカバー設定をクリックします。 検出エンドポイントを入力し、検出をクリックします。 残りのフィールドは自動的に入力されます。 ディスカバー設定Salesforceディスカバリーエンドポイントでは動作しません。
  7. クライアントIDクライアントパスワードを入力します。 クライアントの確認パスワードにパスワードを再入力します。 クライアント識別子は、Azureによってアカウントに割り当てたログインIDです。

  8. Azureからのディスカバリーエンドポイントがない場合は、Azure提供の発行者JsonWebKeySetエンドポイント認証エンドポイントトークンエンドポイントユーザー情報エンドポイントおよび失効エンドポイントおよびセッション終了エンドポイントを入力します。

    フィールド

    詳細
    発行者

    パラメーターなしのAzureのURL。
    JsonWebKeySetエンドポイント AzureのJWKセットのURL。
    認証エンドポイント AzureOAuth2.0認証エンドポイントのURL。
    トークンエンドポイント AzureOAuth2.0トークンエンドポイントのURL。
    ユーザー情報エンドポイント Azureのユーザー情報エンドポイントのURL。
    失効エンドポイント Azureの失効エンドポイントのURL。
    セッション終了エンドポイント

    Azureのセッション終了エンドポイントのURL。 このフィールドを使用すると、ユーザーに単一のログアウト体験を提供することができます。 そのように設定されている場合、CXoneからログアウトすると、Azureアカウントからもログアウトされます。 シングルログアウトを機能させるには、AzureでサインアウトリダイレクトURIをホワイトリストに登録する必要があります。

    SalesforceがIdPである場合、SalesforceでログアウトURLを設定する必要があります。 そのためには、設定>セキュリティ>セッション設定>ログアウトページ設定に移動します。 ログアウトURLフィールドを更新します。 このURLをセッション終了エンドポイントとして使うことになります。
  9. クライアント認証方式を選択します。 選択する方法は、前のタスクで設定したものと一致していなければなりません。 これは、Azureがサポートしている認証方法でなければなりません。
  10. FICAMプロフィールを有効にするを選択して、米国政府固有の設定をオンにすることができます。 このステップはFedRAMPユーザー専用です。
  11. ログイン認証コード作成 をクリックして、提供された情報を検証し、CXoneアカウントをAzureアカウントにリンクします。
  12. ログインオーセンティケーターを開きます。

  13. サインインリダイレクトURIサインアウトリダイレクトURI。 それらはAzure設定を更新するために必要です。

  14. Azure設定を更新し、前のタスクで使用したプレースホルダーを、先ほど説明した値に置き換えます。

  15. ログイン認証コードを使用する各ユーザーのCXone外部アイデンティティが正しい値に設定されていることを確認します。

    Azureは、使用しなければならない値を決定します。 これは、Azureのユーザープロファイルで確認できます。 この値は、 CXone外部アイデンティティフィールドに入力したものと正確に一致する必要があります。 このフィールドの値は次の形式でなければなりません:claim(email):{email configured by your IdP}。 たとえば、IdPにあるユーザーのEメールがnick.carraway@classics.com の場合、 claim(email):nickcarraway@classics.comと入力するはずです。

  16. ユーザーにCXoneにログインしてもらいます。 最新のログインURLを使用する必要があります。 ユーザー名を入力後、必要に応じてAzureに転送されます。

  17. Azureに自分のアカウントを認証するよう求められたら、現在にログインしているCXoneアカウントに関連付けたいAzureのユーザーとして認証します。
  18. CXoneOpenID Connect設定が検証済みとして表示されない場合、Azureのログを使用して問題を診断してください。

ログイン認証機能にユーザーを割り当てる

  1. アプリセレクターをクリックして、次を選択します:Admin

  2. ユーザーをクリックします。

  3. ログイン認証機能に割り当てるユーザーを選択するか、新規作成をクリックして、 新規ユーザーを作成します

  4. 全般タブで、編集をクリックします。

  5. セキュリティセクションで、ログイン認証機能ドロップダウンから、以前に作成したログイン認証機能を選択します。

  6. [完了]をクリックします。

CXone値をAzureに追加する

  1. Azureアプリケーションに戻り、ベーシックSAML設定パネルパネルで編集をクリックします。
  2. 識別子(エンティティID)には、 CXoneログイン認証で取得したエンティティID値を入力します。
  3. 返答URLには、CXoneログイン認証のアサーションURL値を入力します。
  4. 保存をクリックし、ベーシックSAML設定パネルを閉じます。

  5. ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。

    1. IDプロバイダーが、使用しなければならない値を決定します。 この値は、 Azure一意のユーザー識別子およびCXone外部アイデンティティと正確に一致する必要があります。

  6. ユーザーにCXoneにログインしてもらいます。 最新のCXoneログインURLを使用する必要があります。 ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに転送されます。 CXone は、Azure経由でIdP開始の処理をサポートしません。

Azureシングルサインオンでユーザーアクセスを検証します

  1. ログイン認証を使用する各ユーザー外部アイデンティティが正しい値に設定されていることを確認します。 この値は、 Azure一意のユーザー識別子およびCXoneフェデレーションアイデンティティと正確に一致する必要があります。

  2. 1人以上のテストユーザーに、最新のCXoneログインURLでログインしてもらう。 ユーザー名を入力後、必要に応じて Azureに誘導されます。

  3. 準備ができたら、Azureシングルサインオンをすべてのユーザーに展開します。