[外部IDプロバイダー]を使うCXone認証の設定

このページでは、外部IDプロバイダー(IdP)を使用したCXoneシステムの認証設定をステップバイステップで説明します。

これらの各タスクを指定された順序で実行します。

始める前に

  • 以前のようなプロセスを設定したことがなければ、認証と認可のコンセプトと用語の基本理解を取得します。
  • CXoneで初めて認証を使用する場合は、CXone固有のプロセスを確認してください。
  • 人間のユーザーと彼らが必要とするアクセスレベルを考慮してください。アクセスが多い人ほど、セキュリティレベルを高くするべきかどうかを決定します。
  • カスタムパスワードの要求、多要素認証(MFA)、またはその両方を使用して実施するかどうかを決定します。
  • 決定した内容をもとに、ログイン認証のリストを作成します。このリストには、各ログイン認証コードで使用するパスワードの要件とMFAステータスが含まれている必要があります。デフォルトのログイン認証コードがパスワード管理のニーズを満たしている場合、カスタムのログイン認証コードを作成する必要はありません。
  • ボットやインテリジェントバーチャルアシスタント(IVA)のようなアプリケーションの認証と認可を含める必要があるかどうかを検討してください。その場合、アクセスキーを作成する必要があります。
  • 外部IdPを特定します。CXoneはホストされている、およびクラウドサービスのIdPの両方をサポートします。必要であれば、自社の認証の専門家をこのプロセスに参加させます。外部IdPとのCXoneのようなシステムの統合のためのプロセスが既に確立されている場合もあります。これらのプロセスに従い、お客様固有のセキュリティニーズを満たすことは、最終的にはお客様の責任となります。
  • 認証プロトコルを定義します。CXoneSAML 2.0に対応しています。
  • IdPとプロトコルの組合せを評価し、ユースケースとユーザーフローが確実にサポートされ、潜在的な問題を確実に特定できるようになります。これは、実際の試験を含みます。

NICE CXoneチームは、この計画プロセスをサポートし、ガイドすることができます。計画をうまく立てると、実施がよりスムーズになります。目先のニーズで認証・認可を導入すると、問題が発生する可能性が高くなります。

外部ログイン認証者の作成

必要な権限: ログイン認証の作成

ログイン認証コードを使用し、パスワードの基準値を管理します。各ユーザーごとに異なるログイン認証システムを作成できます。

ユーザーのパスワードを他のシステム、またはIDプロバイダーで管理したい場合、外部認証を使用することができます。CXoneは現在、 SAML 2.0フェデレーションプロトコルに対応しています。

この項の手順で、IdP開始認証またはSP開始認証を設定できます。

IdP主導認証 — IdPは外部IDプロバイダーを意味します。IdP主導認証とは、外部IDプロバイダーがログインプロセスを開始することを意味しています。

SP主導認証 — SPはサービスプロバイダーを意味します。SP主導認証とは、CXoneがログインプロセスを開始することを意味します。

Salesforceエージェントを使用する場合は、外部アイデンティティプロバイダー(IdP)をSP起動型認証に設定する必要があります。IdPが提供する証明書は、明確なエンドポイントURLを持つSP開始型でなければなりません。エンドポイントURL なしの証明書—IdP開始型のみが動作しません。

  1. 外部アイデンティティプロバイダーへのアクセス権があることを確認します。CXoneに固有の統合を作成する必要があります。
  2. 外部 ID プロバイダーで統合を作成します。システムによって、これらの統合の名称が異なるため、 OktaまたはAzureの具体的な説明を参照してください。
    1. この時点ではわからないエンティティIDを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
    2. この時点ではわからないACSのURLを入力する必要があります。https://cxone.niceincontact.com/need_to_changeをプレースホルダーとして使用します。
    3. アイデンティティプロバイダーは、SAMLリクエストを送信する必要がある特定の URL を生成します。このURLをコピーして、見つけやすい場所に保存してください。この値を以降のステップで再度入力します。
    4. アイデンティティプロバイダーは、統合のための公開署名証明書を生成します。証明書をダウンロードします。これは以降のステップで再度入力します。
  3. CXoneに外部ログイン認証コードを作成します。
    1. アプリセレクターをクリックして、選択管理者
    2. [セキュリティ] > [ログイン認証機能]をクリックします。
    3. ログイン認証機能の名前説明を入力します。
    4. SAMLとして認証タイプを選択します。
    5. FICAMを選択した場合、SAML応答には単一のAuthnContextClassRefエントリが必要です。また、アサーション件名のNamespaceURIは、urn:oasis:names:tc:SAML:2.0:assertionである必要があります。AuthnContextClassRefフィールドとNamespaceURIフィールドは、IDプロバイダーによって制御されます。
    6. 上記のプロバイダーから受け取ったSAMLリクエストエンドポイントエンドポイントURLプロバイダーとして入力します。
    7. ファイルの選択をクリックし、前の作業でプロバイダーから受信した公開署名証明書を選択します。このファイルは、PEMファイルでなければなりません。それはテキストファイルとなり、最初の行にはBEGIN CERTIFICATEと他のテキストが含まれることになります。
    8. [保存してアクティブ化]をクリックします。
    9. ログイン認証機能を開きます。
    10. エンティティIDACS URLの2つの読み取り専用フィールドが追加で表示されていることに気がつくはずです。これらの値をメモしてください。

  4. アイデンティティプロバイダーの設定を更新し、上記で使用したプレースホルダーを先程の値に置き換えます。

  5. ログイン認証コードを、そのユーザーの役割を通じてユーザーに関連付けます。

  6. ログイン認証を使用する各ユーザーの外部アイデンティティが正しい値に設定されていることを確認します。

    1. IDプロバイダーが、使用しなければならない値を決定します。この値は、 CXone外部アイデンティティフィールドに入力したものと正確に一致する必要があります。

  7. ユーザーにログインしてもらう。最新のログインURLを使用する必要があります。ユーザー名を入力すると、必要に応じて外部アイデンティティプロバイダーに誘導されます。

セキュリティプロファイルを作成

必須の権限: セキュリティプロフィールの作成

  1. 次のいずれかの方法を使用して、セキュリティプロファイルを作成し、名前を付けます。

    • 新しい空白のセキュリティプロファイルを作成するには:

      1. アプリセレクターをクリックして、選択Admin
      2. セキュリティプロファイルに移動します。
      3. 新規作成をクリックします。

      4. セキュリティプロファイルの一意の名前を入力します。

      5. 必要に応じて説明を入力します。

      6. 作成で、空白のセキュリティプロファイルを選択します。

    • 既存のセキュリティプロファイルをコピーする新しいセキュリティプロファイルをすばやく作成するには、次の手順に従います。

      1. アプリセレクターをクリックして、選択Admin
      2. セキュリティプロファイルに移動します。
      3. コピーするセキュリティプロファイルを開きます。

      4. コピーをクリックします。

      5. セキュリティプロファイルの一意の名前を入力します。

      6. 必要に応じて説明を入力します。

  2. 次へをクリックします。

  3. ユーザーに付与する各製品と機能の権限を有効にします。ユーザー設定やセキュリティなど、一部の権限はグループ化されています。グループ内の権限を表示するには、グループ名の横にある個別をクリックします。

  4. 次へをクリックします。

  5. ユーザーに付与する各レポートの権限を有効にします。

  6. 次へをクリックします。

  7. キャンペーン閉じた レポートの実行に使用されるスキルのグループ。、チーム、割り当て可能なプロファイル、グループ、および事業単位閉じた テクニカルサポート、請求、およびCXone環境のグローバル設定の管理に使用される高レベルの組織グループによるデータアクセスを制限します。データタイプごとに、ユーザーにそのタイプのすべてのデータと将来のデータにアクセスさせるか、なしカスタムのいずれかを選択します。

  8. データ型にカスタムを選択した場合は、ポップアップウィンドウを使用して、ユーザーがアクセスできるそのデータ型のエンティティを指定します。完了をクリックします。

    新しいキャンペーン、チーム、セキュリティプロファイル、グループ、および事業単位は、作成時にカスタムリストに自動的に追加されません。ユーザーに新しいデータへのアクセスを許可する場合は、カスタムリストを更新する必要があります。

  9. 次へをクリックします。
  10. セキュリティプロファイルの作成をクリックします。

ユーザーの作成または編集

必須の権限: ユーザーの作成

既存のCXone事業単位に対して外部IdPによる認証を設定する場合、新しいユーザーアカウントを作成する必要はありません。ユーザーアカウントを編集し、外部ID タイプ統合ID フィールドを設定する必要があります。これは、外部IdPを経由して認証する各ユーザーに対して行う必要があります。フィールドについては、このタスクのステップ4で説明しています。

新しいユーザーを作成する場合、新しい個別ユーザーを作成するか、同時に複数の新しいユーザーアカウントをアップロードするかを選択できます。ここでは、Adminアプリケーションで単一のユーザを作成する手順について説明します。複数のユーザーを同時に作成または編集する手順については、複数のユーザーを一度に管理をご覧ください。

CXoneには多くのオプションと設定が用意されており、ユーザをカスタマイズすることができます。開始する前に、このタスク全体に目を通して、構成する必要がある設定を確認しておくことをお勧めします。

  1. アプリセレクターをクリックして、選択Admin.
  2. ユーザーをクリックします。

  3. 次のいずれかの方法で新しいユーザー作成フォームを開きます。

    • 空白のフォームで新しいユーザーを作成する場合は、新規作成をクリックし、シングルユーザーを選択します。
    • 既存のユーザーのプロファイルに基づいて新しいユーザーを作成する場合は、そのユーザーのプロファイルを開いてコピーをクリックします。
  4. ユーザーのメールアドレスユーザー名(メールアドレスの形式)、セキュリティプロファイルチームユーザーが使用する(タイムゾーン)、を入力します。フィールドが利用可能な場合は、パスワードおよびパスワードの確認フィールドを使用してパスワードを設定します。ユーザープロファイルに追加するその他の情報を入力します。

  5. 統合ソフトフォン(WebRTC)カスタムURLを有効にしている場合は、必要に応じて統合ソフトフォンのURLURLの重みを構成します。

  6. 保存して続行をクリックします。
  7. 各チャネルのユーザーの拒否タイムアウト、デフォルトのダイヤルパターン、およびエージェントの音声しきい値を設定します。必要に応じて、[呼び出し音の抑制]を選択します- Personal Connection

  8. 環境が静的配信用に有効になっている場合、同時チャット自動パーキング電子メールのデフォルト数を設定します。ユーザーが連絡先をリクエストできるかどうかを指定します。

  9. お客様の環境が動的配信用に有効になっている場合、ユーザーがチャネルごとに処理できる同時コンタクトの最大数を設定します。詳細な動的配信設定を有効にしている場合は、ユーザーの配信モード合計連絡先数を設定します。

  10. WFOCXone以外に(Uptivity WFOなど)WFO統合を有効にしていて、記録を設定する場合は、 システムドメインシステムユーザー名および電話を入力します。

  11. MAXバージョンセクションでは、このユーザーに使用させるMAXのバージョンを指定することができます。
  12. CXone WFMを有効にしている場合は、エージェントの通知を設定します。

  13. あなたが持っている場合NICE CXone WFOをCRMと統合する場合は、エージェントのCRMユーザー名をユーザーに関連付けます。

  14. 保存をクリックします。

アプリケーションの認証

ユーザーとアプリケーションは、非常によく似た方法で認証されます。主な違いは、アプリケーションはアクセスキーで認証されるのに対し、ユーザーはユーザー名とパスワードで認証されることです。ユーザーと違って、アプリケーションはブラウザーを通してやりとりする必要はありません。アプリケーションは通常、バックオフィス機能またはインテリジェントバーチャルエージェント閉じた 人工知能に基づいてユーザーと対話するチャットボットまたは類似のアプリケーション(IVA)です。

CXoneとやり取りするアプリケーションを設定するには、ユーザープロファイルとを作成し、アプリケーションにちなんでプロファイルに名前を付けます。次に、アプリケーションユーザーのアクセスキーを以下のように作成します。

CXoneでの認可

認可は、ユーザーがどのリソースへのアクセスを許可されているかを確認するプロセスです。リソースには、アプリケーション、ファイル、データが含まれます。ロールベースのアクセスコントロールにより、ユーザーのリソースへのアクセスを定義できます。CXoneは、認証時に自動的に認可を管理します。ユーザーが認証されると、認可されたリソースへのアクセスのみが許可されます。

ユーザーの認証方法は、認可に影響を与えません。CXoneは、全てのユーザーに対して同じ認可プロセスを使用します。アクセスキーで認証されるか、パスワードで認証されるかは問題ではありません。