ログイン認証システムを管理

ログイン認証コードは、ユーザーがCXoneにログインする方法を管理します。CXoneは、ユーザーに割り当てられたログイン認証コード、およびそのログイン認証コードのタイプと設定に基づき、内部認証と外部認証の両方に対応しています。

CXoneの認証と認可の詳細については、 こちらをクリックしてください。

システムログイン認証コードの設定

必須の権限: パスワードの管理ができる、オン。

CXoneには、デフォルトのシステムログイン認証コードがありますが、自分で作成することもできます。特定のロールのログイン認証機能を構成した後、ユーザーがパスワードを設定または変更しようとすると、パスワードフィールドに構成済みのログイン認証機能ルールが表示されます。

  1. アプリセレクターをクリックして、次を選択します:Admin
  2. ログイン認証サーバの順に選択します。
  3. 新規作成をクリックします。

  4. ログインオーセンティケーターの一意の名前を入力します。

  5. 必要に応じて説明を入力します。

  6. 認証タイプとして[システム]を選択します。

  7. パスワードの複雑さを設定します。

    各ユーザーのパスワードは、一般的に使用されるパスワードのリポジトリに対してチェックされます。彼らのパスワードが一般的に使用されるパスワードに一致した場合、彼らは新しいパスワードを作成するよう強制されます。拒否されるパスワードの例を以下に示します:

    • 「password.」という語句を含むパスワード(Password@1234など)。

    • ユーザーのEメールアドレス、ユーザー名、姓、またはシステム名を含むパスワード。

    パスワードは以下の場合にリポジトリに対して照合されます:

    • 新規ユーザーがアクティブ化されたとき。

    • ユーザーのパスワードの期限が切れたとき。

    • ユーザーがパスワードをリセットしたとき。

  8. 多要素認証を有効にする場合は、多要素認証が必要を選択します。MFAタイプをHOTPTOTPに設定します。

  9. パスワードポリシーを設定します。

  10. ログイン認証コード作成をクリックします。

SAML 2.0で外部ログイン認証コードを設定します

ユーザーのパスワードを他のシステム、またはIDプロバイダーで管理したい場合、外部認証を使用することができます。CXoneは現在、SAML 2.0OpenID Connectのフェデレーションプロトコルに対応しています。

この項の手順で、IdP開始認証またはSP開始認証を設定できます。

IdP主導認証:IdPはアイデンティティー プロバイダーを意味します。IdP主導認証とは、外部IDプロバイダーがログインプロセスを開始することを意味しています。

SP主導認証:SPはサービスプロバイダーを意味します。SP主導認証とは、CXoneがログインプロセスを開始することを意味します。

Salesforce Agentエージェントを使用する場合は、外部アイデンティティプロバイダー(IdP)をSP起動型認証に設定する必要があります。

  1. 外部アイデンティティプロバイダーへのアクセス権があることを確認します。CXoneに固有の統合を作成する必要があります。
  2. 外部 ID プロバイダーで統合を作成します。システムによって、これらの統合の名称が異なるため、 OktaまたはAzureの具体的な説明を参照してください。
    1. この時点ではわからないエンティティIDを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
    2. この時点ではわからないACSのURLを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
    3. アイデンティティプロバイダーは、SAMLリクエストを送信する必要がある特定の URL を生成します。このURLをコピーして、見つけやすい場所に保存してください。この値を以降のステップで再度入力します。
    4. アイデンティティプロバイダーは、統合のための公開署名証明書を生成します。証明書をダウンロードします。これは以降のステップで再度入力します。
  3. CXoneに外部ログイン認証コードを作成します。
    1. アプリセレクターをクリックして、次を選択します:管理者
    2. [セキュリティ] > [ログイン認証機能]をクリックします。
    3. ログイン認証機能の名前説明を入力します。
    4. SAMLとして認証タイプを選択します。
    5. FICAMを選択した場合、SAML応答には単一のAuthnContextClassRefエントリが必要です。また、アサーション件名のNamespaceURIは、urn:oasis:names:tc:SAML:2.0:assertionである必要があります。AuthnContextClassRefフィールドとNamespaceURIフィールドは、IDプロバイダーによって制御されます。
    6. 上記のプロバイダーから受け取ったSAMLリクエストエンドポイントエンドポイントURLプロバイダーとして入力します。
    7. ファイルの選択をクリックし、前の作業でプロバイダーから受信した公開署名証明書を選択します。このファイルは、PEMファイルでなければなりません。それはテキストファイルとなり、最初の行にはBEGIN CERTIFICATEと他のテキストが含まれることになります。
    8. [保存してアクティブ化]をクリックします。
    9. ログイン認証機能を開きます。
    10. エンティティIDACS URLをメモしてください。IdP設定を更新する際に必要になります。

  4. アイデンティティプロバイダーの設定を更新し、上記で使用したプレースホルダーを先程の値に置き換えます。

  5. ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。

    IDプロバイダーが、使用しなければならない値を決定します。この値は、 CXone外部アイデンティティフィールドに入力したものと正確に一致する必要があります。

  6. ユーザーにログインしてもらう。最新のログインURLを使用する必要があります。ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに誘導されます。

OpenID Connectを使用した外部ログイン認証者の作成

必須の権限ログイン認証機能の作成

ユーザーのパスワードを他のシステム、またはIDプロバイダーで管理したい場合、外部認証を使用することができます。CXoneは現在、SAML 2.0OpenID Connectのフェデレーションプロトコルに対応しています。

この項の手順で、IdP開始認証またはSP開始認証を設定できます。

IdP主導認証:IdPはアイデンティティー プロバイダーを意味します。IdP主導認証とは、外部IDプロバイダーがログインプロセスを開始することを意味しています。

SP主導認証:SPはサービスプロバイダーを意味します。SP主導認証とは、CXoneがログインプロセスを開始することを意味します。

Salesforce Agentエージェントを使用する場合は、外部アイデンティティプロバイダー(IdP)をSP起動型認証に設定する必要があります。

  1. 外部アイデンティティプロバイダーへのアクセス権があることを確認します。CXoneに固有の統合を作成する必要があります。
  2. 外部 ID プロバイダーで統合を作成します。
    1. この時点ではわからないサインインリダイレクトURIを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
    2. この時点ではわからないサインアウトリダイレクトURIを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
    3. アイデンティティープロバイダーはクライアントIDとクライアントシークレットを生成します。これらの値をコピーして、見つけやすいところに保存してください。この値を以降のステップで再度入力する必要があります。
  3. CXoneに外部ログイン認証コードを作成します。
    1. アプリセレクターをクリックして、次を選択します:Admin

    2. ログイン認証機能をクリックします。

    3. 新しいログイン認証コードをクリックするか、編集するログイン認証コードを選択します。
    4. ログイン認証コードの名前説明を入力します。
    5. OIDCとして認証タイプを選択します。
    6. IdPのディスカバリーエンドポイントがある場合は、ディスカバー設定をクリックします。検出エンドポイントを入力し、検出をクリックします。残りのフィールドは自動的に入力されます。ディスカバー設定Salesforceディスカバリーエンドポイントでは動作しません。
    7. クライアント識別子クライアントパスワードを入力します。クライアントの確認パスワードにパスワードを再入力します。クライアント識別子は、IdPがアカウントに割り当てるログインIDです。
    8. IdPのディスカバリーエンドポイントがない場合は、IdP提供の発行者JsonWebKeySetエンドポイント認証エンドポイントトークンエンドポイントUserInfoエンドポイントおよび失効エンドポイントおよびセッション終了エンドポイントを入力します。

    9. クライアント認証方式を選択します。選択するメソッドは、IdPがサポートしている認証メソッドでなければなりません。private_key_jwtを選択した場合、 暗号化の有効化選択し、 お客様のクライアントアサーション検証キーを入力し
    10. FICAMプロファイルを有効にするを選択して、米国政府固有の設定をオンにすることができます。
    11. ログイン認証コードを作成するをクリックして、提供された情報を検証し、CXoneアカウントをIdPアカウントにリンクします。
    12. ログイン認証機能を開きます。
    13. サインインリダイレクトURIおよびサインアウトリダイレクトURIをメモします。IdP設定を更新する際に必要になります。

  4. アイデンティティプロバイダーの設定を更新し、上記で使用したプレースホルダーを先程の値に置き換えます。

  5. ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。

    IDプロバイダーが、使用しなければならない値を決定します。この値は、 CXone外部アイデンティティフィールドに入力したものと正確に一致する必要があります。このフィールドの値は次の形式でなければなりません:claim(email):{email configured by your IdP}。たとえば、IdPにあるユーザーのEメールがnick.carraway@classics.com の場合、 claim(email):nickcarraway@classics.comと入力するはずです。

  6. ユーザーにログインしてもらう。最新のログインURLを使用する必要があります。ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに転送されます。

  7. IdPから認証を求められたら、現在ログインしているCXoneアカウントにに関連付けるIdPのユーザーとして認証します。
  8. CXoneOpenID Connectの設定が検証済みとして表示されない場合は、IdPログを使用して問題を診断してください。

新規ユーザーをクレームベースのOpenID Connectとリンクする

CXoneは、メールアドレスのように、異なるクレーム値を使い、最初のログインの時のユーザーアイデンティティを設定します。CXoneはその後、一意OpenID Connect主体識別子に自動的に切り替えます。これによりユーザーのフェデレーションIDの事前設定が行えます。

フロントエンド認証のためのPKCE

OpenID Connect認証コードフローを使うのが難しいかもしれません。このフローはトークン交換の一部としてclient_secretを必要とします。ウェブアプリケーションにclient_secretをコード化することはセキュリティ・リスクです。OpenID Connectでは、PKCE(Proof Key for Code Exchange)と呼ばれる代替フローを許可しています。PKCEは異なる認証方法を使用します。NICE CXoneはフロントエンドの統合のためにPKCEフローをサポートしています。

ログイン認証機能にユーザーを割り当てる

  1. アプリセレクターをクリックして、次を選択します:Admin.
  2. ユーザーをクリックします。

  3. ログイン認証機能に割り当てるユーザーを選択するか、新規作成をクリックして、 新規ユーザーを作成します

  4. 全般タブで、編集をクリックします。

  5. セキュリティセクションで、ログイン認証機能ドロップダウンから、以前に作成したログイン認証機能を選択します。

  6. 完了をクリックします。