ログイン認証コードは、ユーザーがCXoneにログインする方法を管理します。CXoneは、ユーザーに割り当てられたログイン認証コード、およびそのログイン認証コードのタイプと設定に基づき、内部認証と外部認証の両方に対応しています。
CXoneの認証と認可の詳細については、 こちらをクリックしてください。
システムログイン認証コードの設定
必須の権限: パスワードの管理ができる、オン。
CXoneには、デフォルトのシステムログイン認証コードがありますが、自分で作成することもできます。特定のロールのログイン認証機能を構成した後、ユーザーがパスワードを設定または変更しようとすると、パスワードフィールドに構成済みのログイン認証機能ルールが表示されます。
- アプリセレクター
をクリックして、選択Admin。 - ログイン認証サーバの順に選択します。
-
新規作成をクリックします。
-
ログインオーセンティケーターの一意の名前を入力します。
-
必要に応じて説明を入力します。
-
認証タイプとして[システム]を選択します。
認証タイプの詳細
フィールド
詳細
システム ログインオーセンティケーターは、の組み込みログインプロセスを使用します。 CXone 。外部のシングルサインオン(SSO)IDプロバイダーを使用した認証は行いません。 SAML SAML 2.0を使用すると、外部アイデンティティプロバイダーを介したシングルサインオンを設定できます。CXoneは、SAML 2.0の複数のインスタンスに対応しています。ユーザーごとに異なるインスタンスを割り当てることができます。 - パスワードの複雑さを設定します。
各ユーザーのパスワードは、一般的に使用されるパスワードのリポジトリに対してチェックされます。彼らのパスワードが一般的に使用されるパスワードに一致した場合、彼らは新しいパスワードを作成するよう強制されます。拒否されるパスワードの例を以下に示します:
「password.」という語句を含むパスワード(Password@1234など)。
ユーザーのEメールアドレス、ユーザー名、姓、またはシステム名を含むパスワード。
パスワードは以下の場合にリポジトリに対して照合されます:
新規ユーザーがアクティブ化されたとき。
ユーザーのパスワードの期限が切れたとき。
ユーザーがパスワードをリセットしたとき。
フィールド 詳細については 、このステップを参照してくださいフィールド詳細必須小文字 (a~z) パスワードに少なくとも1つの小文字を使用する必要があります。 大文字(A-Z)が必要です -パスワードに少なくとも1つの大文字を使用することをユーザーに要求します。 数字(0-9) (必須) -ユーザーがパスワードに少なくとも1つの数字を使用することを要求します。 英数字以外(!,@,#,etc.)が必要です パスワードに少なくとも1文字の非英数字を使用することをユーザーに要求します。 -
多要素認証を有効にする場合は、多要素認証が必要を選択します。MFAタイプをHOTPとTOTPに設定します。
MFA設定の詳細
フィールド 詳細 多要素認証(必須) CXoneにログインするには、パスワードに加えて多要素認証(MFA) トークンを入力する必要があります。MFAトークンは、提供するハードウェア トークンまたは仮想 MFAデバイス (たとえば、Google Authenticator などのアプリ) によって生成されるワンタイムパスワード です。MFAを有効にすると、影響を受けるプロファイルを持つユーザーは、次回ログイン時に MFAシークレットキーを設定する必要があります。
組織のマスター管理者に対してMFAを有効にしないでください。デバイスまたはシークレットを紛失した場合、MFAシークレットをリセットする唯一の方法は、NICE CXoneでチケットを提出することです。
MFAタイプ TOTPまたはHOTPMFAを有効にするかどうかを指定します。 -
パスワードポリシーを設定します。
このステップのフィールドの詳細
フィールド 詳細 パスワードの長さ ユーザーがパスワードに含める必要がある合計文字の最小数を設定します。たとえば、12を入力した場合、ユーザーはすべてのパスワードに合計12文字以上を含める必要があります。パスワード複雑さ設定で必要な文字は、合計文字数にカウントされます。パスワードの長さは、12から24までの任意の数字に設定できます。 パスワードの有効期間を有効化 ユーザーがパスワードを保持できる最大日数を入力できるテキストボックスを有効にします。指定した日数が経過すると、ユーザーはパスワードを変更する必要があります。パスワード年齢を14から365日の範囲で任意に設定できます。 パスワード履歴を有効化 ユーザーが古いパスワードを再利用する前に設定する必要がある一意のパスワードの数を入力します。パスワード履歴は4から50の範囲で設定できます。たとえば、10を入力すると、ログイン認証機能を割り当てられたユーザーは、過去10個のパスワードのいずれかを新しいパスワードとして使用することができなくなります。 -
ログイン認証コード作成をクリックします。
外部ログイン認証コードをセットアップする
ユーザーのパスワードを他のシステム、またはIDプロバイダーで管理したい場合、外部認証を使用することができます。CXoneは現在、SAML 2.0とOpenID Connectのフェデレーションプロトコルに対応しています。
この項の手順で、IdP開始認証またはSP開始認証を設定できます。
IdP主導認証:IdPはアイデンティティー プロバイダーを意味します。IdP主導認証とは、外部IDプロバイダーがログインプロセスを開始することを意味しています。
SP主導認証:SPはサービスプロバイダーを意味します。SP主導認証とは、CXoneがログインプロセスを開始することを意味します。
Salesforceエージェントを使用する場合は、外部アイデンティティプロバイダー(IdP)をSP起動型認証に設定する必要があります。IdPが提供する証明書は、明確なエンドポイントURLを持つSP開始型でなければなりません。エンドポイントURL なしの証明書—IdP開始型のみが動作しません。
SAML 2.0によるログイン認証コードのセットアップ
- 外部アイデンティティプロバイダーへのアクセス権があることを確認します。CXoneに固有の統合を作成する必要があります。
- 外部 ID プロバイダーで統合を作成します。システムによって、これらの統合の名称が異なるため、 OktaまたはAzureの具体的な説明を参照してください。
- この時点ではわからないエンティティIDを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
- この時点ではわからないACSのURLを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
- アイデンティティプロバイダーは、SAMLリクエストを送信する必要がある特定の URL を生成します。このURLをコピーして、見つけやすい場所に保存してください。この値を以降のステップで再度入力します。
- アイデンティティプロバイダーは、統合のための公開署名証明書を生成します。証明書をダウンロードします。これは以降のステップで再度入力します。
- CXoneに外部ログイン認証コードを作成します。
- アプリセレクターをクリックして、選択管理者。
- [セキュリティ] > [ログイン認証機能]をクリックします。
- ログイン認証機能の名前と説明を入力します。
- SAMLとして認証タイプを選択します。
- FICAMを選択した場合、SAML応答には単一のAuthnContextClassRefエントリが必要です。また、アサーション件名のNamespaceURIは、urn:oasis:names:tc:SAML:2.0:assertionである必要があります。AuthnContextClassRefフィールドとNamespaceURIフィールドは、IDプロバイダーによって制御されます。
- 上記のプロバイダーから受け取ったSAMLリクエストエンドポイントをエンドポイントURLプロバイダーとして入力します。
- ファイルの選択をクリックし、前の作業でプロバイダーから受信した公開署名証明書を選択します。このファイルは、PEMファイルでなければなりません。それはテキストファイルとなり、最初の行にはBEGIN CERTIFICATEと他のテキストが含まれることになります。
- [保存してアクティブ化]をクリックします。
- ログイン認証機能を開きます。
エンティティIDとACS URLをメモしてください。IdP設定を更新する際に必要になります。
- アプリセレクター
-
アイデンティティプロバイダーの設定を更新し、上記で使用したプレースホルダーを先程の値に置き換えます。
-
ログイン認証コードを、そのユーザーの役割を通じてユーザーに関連付けます。
-
ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。
IDプロバイダーが、使用しなければならない値を決定します。この値は、 CXoneの外部アイデンティティフィールドに入力したものと正確に一致する必要があります。
-
ユーザーにログインしてもらう。最新のログインURLを使用する必要があります。ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに誘導されます。
OpenID Connectによるログイン認証コードのセットアップ
お使いのシステムでOpenID Connectがまだ有効になっていない場合は、CXoneアカウント担当者にお問い合わせください。彼らはお客様のためにそれを有効にし、ログイン用のカスタムホスト名をセットアップするのを支援します。
- まだ行っていない場合は、IdPを構成します。クライアント識別子とクライアントシークレットをメモします。お客様のシステムに固有のリダイレクトURIを構成します。このURIは、NICE CXoneアカウント担当者に設定したカスタムホスト名に基づいています。
-
アプリセレクター
をクリックして、選択Admin -
ログイン認証コードをクリックします。
-
- ログイン認証コードの名前と説明を入力します。
- OIDCを認証タイプとして選択します。
- IdPの検出エンドポイントがある場合は、設定の検出をクリックします。検出エンドポイントを入力し、検出をクリックします。残りのフィールドは自動的に入力されます。
- クライアントIDとクライアントパスワードを入力します。クライアントの確認パスワードにパスワードを再入力します。クライアント識別子は、IdPがアカウントに割り当てるログインIDです。
-
IdPのディスカバリーエンドポイントがない場合は、IdP提供の発行者、JsonWebKeySetエンドポイント、認証エンドポイント、トークンエンドポイント、UserInfoエンドポイントおよび失効エンドポイントを入力します。
このステップのフィールドの詳細
フィールド
詳細
発行者 パラメーターなしのIdPのURL。
JsonWebKeySetエンドポイント IdPのJWKセットのURL。 認証エンドポイント お客様のIdPのOAuth2.0認証エンドポイントのURL。 トークンエンドポイント お客様のIdPのOAuth2.0トークンエンドポイントのURL。 ユーザー情報エンドポイント IdPのユーザー情報エンドポイントのURL。 失効エンドポイント IdPの失効エンドポイントのURL。 - クライアント認証方式を選択します。選択するメソッドは、IdPがサポートしている認証メソッドでなければなりません。private_key_jwtを選択した場合、 暗号化の有効化を
- FICAMプロフィールを有効にするを選択して、米国政府固有の設定をオンにすることができます。
-
- IdPから認証を求められたら、現在ログインしているCXoneアカウントにに関連付けるIdPのユーザーとして認証します。
- CXoneのOpenID Connectの設定が検証済みとして表示されない場合は、IdPログを使用して問題を診断してください。
新規ユーザーをクレームベースのOpenID Connectとリンクする
CXoneは、メールアドレスのように、異なるクレーム値を使い、最初のログインの時のユーザーアイデンティティを設定します。CXoneはその後、一意OpenID Connect主体識別子に自動的に切り替えます。これによりユーザーのフェデレーションIDの事前設定が行えます。
フロントエンド認証のためのPKCE
OpenID Connect認証コードフローを使うのが難しいかもしれません。このフローはトークン交換の一部としてclient_secretを必要とします。ウェブアプリケーションにclient_secretをコード化することはセキュリティ・リスクです。OpenID Connectでは、PKCE(Proof Key for Code Exchange)と呼ばれる代替フローを許可しています。PKCEは異なる認証方法を使用します。NICE CXoneはフロントエンドの統合のためにPKCEフローをサポートしています。
ログイン認証機能にユーザーを割り当てる
- アプリセレクターをクリックして、選択Admin.
-
ユーザーをクリックします。
-
ログイン認証機能に割り当てるユーザーを選択するか、新規作成をクリックして、 新規ユーザーを作成します。
-
全般タブで、編集をクリックします。
-
セキュリティセクションで、ログイン認証機能ドロップダウンから、以前に作成したログイン認証機能を選択します。
-
完了をクリックします。